Introduccion a implementaciones de seguridad

Asegurar la información es
tan importante como la seguridad
informática.

El mayor activo de una
organización es la información.

Ante el avance de las nuevas
tecnologías es necesario contemplar las tendencias.
Considerando que hoy es más lucrativo y menos riesgoso ser
un cyber delincuente que un narcotraficante; que las actividades
terroristas se trasladaron a la nube, y las amenazas de cuarta
generación nos ponen en jaque; no se puede dejar pasar por
alto el más mínimo detalle. Un interesante trabajo,
publicado por el MIT:
http://sdm.mit.edu/news/news_articles/webinar_081213/iheagwara_081213.pdf

Vamos a lo nuestro:

Primer paso: rechazo de plano las
siguientes cuestiones: Software ilegal, share ware, y el
increíble paradigma "mi programador nunca se equivoca",
esto no existe; todos nos equivocamos; y bastante. (Cosa que hay
que contemplar en el plan de contingencia…o no?

Segundo paso: veamos un modelo de
organización.

Organización:

Gerencia de sistemas y TI: Define las políticas
generales y supervisa el cumplimiento de las
mismas.

Subdividida en:

a) Área de
infraestructura
b) Área de
seguridad
c) Área de
sistemas
1) Sub área de
análisis
2) Sub área de
desarrollo

3) Sub área de testing

4) Sub área de
producción.

Cada uno de los responsables de estas
áreas, llámese gerencias, jefaturas, o como se
quiera, son justamente los referentes y responsables, valga la
redundancia, de cada componente de la estructura. Puede darse el
caso que una misma persona cumpla mas de un rol, sin embargo
tratándose de una empresa mediana-grande debieran ser
personas distintas, aunque no tengan empleados propios y trabajen
con servicios de terceros. Pero tienen que ser responsables de
las políticas establecidas.

Área de
infraestructura

Debe tener a su cargo el mantenimiento de toda la red
tecnológica. Esto incluye, desde lo
básico:

Cableado estructurado certificado. CAT 5e,
o CAT 6 si es posible (para lograr trasmisiones en gigabit puro)
y enlaces de fibra si las distancias lo justifican y se necesita
mayor velocidad entre switches distantes. (Igual es bueno tener
la posibilidad de un enlace de fibra y otro de Cat6 por si el
primero se cae. Obviamente se debe evaluar las distancias para
cat6, o usar repetidores). Tiene que estar certificada; he visto
cables utp "estrangulados con precintos para cables", he vistos
jacks y plugs pegados con cinta y armados con "los dientes", he
visto cables con un plug conectado directamente a la terminal,
sin usar una caja con sus jacks y patchcords como corresponde,
Incluso en lugares como el instituto
FLENI…vergonzoso.

Instalación eléctrica
normalizada y certificada. Con monitoreo de voltaje-amperaje en
línea; y en caso de haber trifásica, usar un
selector de fase automático.

Centralizada en una o varias ups.
Generalmente prefiero usar una batería de ups de 3 a 6 kva
que alimentan distintos sectores de la empresa. Por dos motivos:
primero una ups de gran potencia cuesta una fortuna; y hasta 6
kva tienen precios razonables. Si se cae una, por problemas de
circuitos, la saco de servicio y dejo conectada la "línea"
en forma directa, con las precauciones del caso.

El cambio de baterías se debe hacer
cada dos años (luego de eso, comienzan a despedir
ácidos y causa deterioros del equipo y perdida de
confiabilidad); pero este se hace siempre on-site y en caliente;
con lo cual basta tener el soporte técnico adecuado. Sin
ánimo de hacer propaganda, APC lo tiene en Argentina y es
muy eficiente.

Las ups deben ser monitoreadas con el
software correspondiente (hoy las ups tienen conectividad
Ethernet, y si no, por puerto serie o USB. Pero en este caso
tienen que tener una pc cerca); para saber fecha de
instalación de las baterías, vencimiento de las
mismas, carga, autonomía, etc.

No quiero explayarme demasiado sobre las
opciones de administración de las UPS, pueden verlo en:
PowerChute
http://www.apc.com/products/family/index.cfm?id=127&ISOCountryCode=ES

Teniendo en cuenta que este software provee
varias funciones importantes, como el cierre de aplicaciones y
apagado controlado de los dispositivos conectados; esto es
podemos configurar que al quedar un 30% de carga en las
baterías emita un alerta a todas las estaciones avisando
que las aplicaciones van a cerrarse en pocos minutos. Cuando
queda un 20 % de carga comienza la secuencia de cierre y apagado
de los servidores. Al cerrarlos en forma normal, evitamos
daños en las configuraciones, las bases de datos y en el
hardware.

Network shutdown
http://www.apcmedia.com/salestools/SJHN-9D9PDZ/SJHN-9D9PDZ_R0_EN.pdf

NOTA: periódicamente efectuar
un "corte de corriente" para probar la normal prestación
de las ups. Mejor si no hay nadie trabajando. Si las maquinas
están apagadas, el wake on lan es una buena medida para
encenderlas. Pero este chequeo hay que hacerlo.

Ubicación centralizada de servidores
y equipos de comunicación. En caso de ser muy importante,
tener dos ubicaciones físicas distantes, con redundancia
de servicios. Pero esto es raro que se use.

Protección y detección de
incendios, de humedad y de temperatura; contando con los
dispositivos adecuados para paliar estas situaciones.

También es importante que los
servidores cuenten con fuentes redundantes, y
homologadas.

Acondicionamiento y mantenimiento de los
diversos host, sean terminales, impresoras de red, fotocopiadoras
conectables, scanner, switches, print servers, puntos de acceso
inalámbricos, proyectores, plotters de gran formato,
robots de corte, tornos, dispositivos RFID, e infinidad de
modulos.

Disponer de los ambientes de hardware para
desarrollo y testing, lo mas aislados posibles del entorno de
producción; que en definitiva es el 90 % de la
infraestructura. Si bien la separación puede ser
únicamente "lógica" por definirla de alguna manera.
Con la mas mínima y supervisada conectividad con
producción; cuando ha superado los estándares de
calidad y se ha aprobado su implementación.

El responsable de esta área tiene
que tener las características de lo que hoy se comienza a
denominar TI Generalista, porque con la inmensa cantidad de
dispositivos o cosas(es correcto) que se pueden conectar a
Internet of Things, Internet de las cosas, es necesario saber,
conocer, estudiar y analizar que "cosa inteligente" se va a
conectar…a Internet…y a mi red, sobre todo la
wi-fi. Hoy es un tema delicado el fenómeno llamado BYOD,
que es más del área de seguridad, pero el
área de infraestructura tiene responsabilidad
compartida.

Pensemos que cuando yo comencé a
trabajar y estudiar sistemas, lo único Smart que
conocía, era Maxwell (el Súper Agente 86) y hoy
tenemos un cepillo de dientes que se conecta a internet por medio
de un Smart phone
(http://www.infobae.com/2014/01/06/1535261-presentan-un-cepillo-dientes-inteligente-que-busca-reinventar-el-cuidado-bucal),
una locura, es para reírse. Pero la risa, no es joda, hoy
se te conecta cualquier cosa.

Área de
seguridad

La puse en el "medio" de las tres
áreas que componen mi gerencia imaginaria, no por una
cuestión de jerarquía, sino por el hecho que tiene
que interactuar con infraestructura y con sistemas. Y sus
políticas deben ser consensuadas con ambas, pero con
autoridad absoluta sobre el resto.

Quede claro que "admin", por llamarlo
así; esta absolutamente restringido a los administradores;
es decir el control total de los dispositivos. Incluso a algunos
solo le daría control de monitoreo, y que informen al
responsable para que realice modificaciones de
configuración. Jamás a los usuarios.

Veamos las distintas
pautas:

Firewalls, detección y
prevención de intrusos, control de navegación,
balanceadores de carga.

Utilización de hardware adecuado
para cumplir estas funciones. En un primer nivel de filtrado, con
políticas no absolutamente permisivas pero que no
interfieran con el normal desenvolvimiento de la
organización. En general los dispositivos de hardware
tienden a limitar (o no) a toda la organización, y esto no
siempre es útil desde el punto de vista de la
productividad. No permiten filtrar por rangos de ip, dominios o
perfiles, sino que permiten políticas generales. Pero un
primer cortafuegos debe como mínimo impedir ataques
relacionados con: IP explicit path, Land Attack, SYN Flood,
TCP Port scan, TCP Flags check; Header Lengts, UDP Flood, UDP
Port scan, Smart Wins, Smart DNS, Smart DHCP, ICMP Attack, ICMP
Filter, Smart Arp, Os detection; y/o bloquear IP Options, Land,
Smurf, Trace Route, Fraggle Attack, Tear Drop, Ping of Death,
Unknown Protocol.

A nivel de este primer firewall se debe
ser muy cuidadoso con la DMZ, estar muy seguro que se va a dejar
en esta "área lógica", normalmente servidores
web. Y también tener una buena política a la
hora de definir la Network address traslation (NAT), permitiendo
y abriendo puertos de ips privadas hacia afuera. También
definir las tablas de ruteo. Y el balance de carga, suponiendo
que se disponen de numerosas ips publicas; como es el caso de una
empresa como la del ejemplo teórico. Supongamos 8 ips
publicas, 4 sincrónicas y 4 asincrónicas (Para mi,
lo ideal, para asegurar los servicios hacia internet o VPNS (esto
es mas crucial), y la navegación interna.

Esta protección la dejo
habilitada, por más que la vuelva a activar en el firewall
por soft que ya mencionare en el SGSI. En el resto de las
políticas seria bastante permisivo, definiendo
políticas más estrictas en los perfiles del
SGSI.

Vpns:

Por hard o por software. En el caso de
empresas de retail, con varios locales; la solución ideal
son vpns por "hard", utilizando routers en ambos extremos que
permitan mantener una vpn permanente. Me parecen más
estables que las hechas por software, aunque igual de
seguras.

Vlans:

Las virtual lans son la mejor forma de
separar o aislar lógicamente distintos sectores de una
organización (incluso sobre subredes distintas) como una
"capa lógica", como es el caso citado (desarrollo,
testing, producción) o bien dentro del entorno de
producción, por ejemplo las áreas de
administración y fabricación (por dar un caso). Si
bien son una solución lógica, se configuran en
dispositivos (routers, switches) físicos, lo que las hace
muy robustas y confiables.

DHCP:

DHCP Resererved: es una buena
solución para fijar la misma ip siempre a cada nodo, en
vez de fijarla en el mismo. Esto permite mantener un orden a los
efectos de control y mantenimiento remoto.

DNS:

En caso de utilizarse nombres de
dominio internos es el servicio que nos permite mejorar la
comunicación entre sectores. Aplicable en caso de tener
muchos puestos de trabajo, y las prestaciones
adecuadas.

WI-Fi

Estrictas políticas de cifrado y
seguridad. Filtrado de mac. Dhcp reserved. Siempre el mas alto
nivel de seguridad posible, con contraseñas
cifradas.

Separar con otro isp una red wi-fi para
uso de
invitados-proveedores–clientes-auditores-inspectores-asesores-cartoneros…(ya
van a venir con una Tablet!!!) y cuanto personaje molesto quiera
conectarse. Que tenga su propio isp (ya lo dije)
modem–router–access point-repeater… y un nivel de
seguridad sensata, al menos wep-wap-wap2 y una contraseña
robusta. Con tal que no se conecte con la red empresaria me
basta.

Pautas de respaldo:

Copias de seguridad de las bases de
datos. El respaldo tradicional en medios magnéticos no
debe faltar, y debe ser retirado de la empresa todos los
días. Tiene que haber un responsable de sacarlo y dejarlo
a buen recaudo. Se debe hacer diariamente, y el de cada cierre de
mes depositarlo en la caja de seguridad del banco, por ejemplo.
Dependiendo del tipo de medio magnético utilizado, se
puede reutilizar después de 30
días.

Otra opción es guardarlo en una
caja ignífuga, aunque personalmente tengo mis dudas que
pueda resistir las altas temperaturas en caso de un
incendio.

El mismo respaldo debe hacerse durante
la noche en forma desatendida en algún servidor en la
nube, sincronizando los cambios.

También es muy buena
solución usar un sistema de réplica en un servidor
distante o en la nube; que se sincronice automáticamente
durante la jornada. Esto puede hacer un poco más lenta la
operatoria, pero puede lograrse que no sea
significativo.

Estos dos últimos puntos no
reemplazan al back-up tradicional descrito en el primer
párrafo, son adicionales.

Respaldo del software de apps y SO
instalados, configuraciones de estaciones y
servidores.

Como planteamos la no
utilización de software ilegal, entonces tenemos los
originales de cada SO. Los mismos deben estar guardados fuera de
la empresa, y solo se los trae en caso de una inspección
de software legal. Trabajar siempre con copias. (No
distribuirlas, claro).

Pero el problema no es este, el
problema es la infinidad de configuraciones que tenemos hechas en
cada servidor o estación de trabajo critica. Documentarlo
por escrito es una opción, pero bastante laboriosa, y a la
hora de recuperar, es demasiado lenta y poco confiable. Lo mejor
es tener habilitado un mirror en cada uno de los servidores;
cuestión que si un disco sale de servicio,
rápidamente se recurre al "espejo" previniendo un
desastre. Tres o cuatro veces por año efectuar una imagen
de los discos de los servidores, o clonarlos, y sacar de la
empresa este material, igual que con el back-up.

Respaldo de configuraciones de
dispositivos

Todos los dispositivos permiten salvar
una copia de su configuración. Cada vez que se modifique
algo en ellos, debe generarse un respaldo de la
configuración; y guardarlo en un repositorio o carpeta que
a su vez este incluida en el back up diario o copia de seguridad
de las bases de datos.

NOTA: periódicamente hay que
hacer una restauración (en ubicación distinta) para
verificar que los respaldos funcionan!!

Recursos compartidos:

Compartir recursos de hardware solo a
los usuarios que realmente lo necesiten. Con permisos de acceso
según el caso. Hay recursos, como por ejemplo las
impresoras de red, los NAS, y los mismos servidores que no todo
el mundo puede usar. Debe establecerse que usuarios o sectores
utilizan estos recursos, y no que todo el mundo tenga
acceso.

Compartir recursos de software solo a
los usuarios que realmente lo necesiten. Con permisos de acceso
según el caso. No todo el mundo debe tener derecho a
"borrar", incluso no todos a escribir. Consultas de
búsqueda y solo lectura son posibles. Lo mismo ocurre con
las aplicaciones, no todo el mundo tiene acceso a Internet, no
todo el mundo puede acceder al sistema de sueldos, o a las
aplicaciones financieras, etc. Se deben asignar permisos
efectivos tanto en el SO como en la App, para compartir bases de
datos o para efectuar procedimientos. Ej.: no cualquiera puede
generar un pago, y mucho menos operar con los
bancos.

Ver nota sobre administración de
identidad y accesos de cuarta generación.

Permisos de usuarios:

Política rigurosa de acceso a
todo tipo de recursos por usuario con contraseñas
cifradas, y permisos efectivos para manejar datos y gestionar
operaciones. Es bueno practicar una auditoria de accesos a
recursos e ingresos a funciones del sistema de
gestión.

Cifrado de datos:

Establecer solidas políticas de
cifrado de contraseñas y datos de acceso público,
especialmente. Utilizar encriptado de paquetes para todo aquello
que viaje por la red publica. Una VPN es una excelente
solución, pero no siempre es posible
utilizarla.

Limitaciones de aplicaciones no
autorizadas:

Este punto es mas critico en estaciones
de trabajo. Pero se soluciona haciendo que cada usuario sea
"Limitado" y creando directivas de usuario para evitar
modificaciones, hasta de los fondos de escritorio, si hace falta.
Un ejemplo, a mi no me gusta que los monitores "descansen",
prefiero siempre encendido; pero configuro el apagado de discos
después de 1/2 hora de inactividad (duran mas los discos);
tampoco me gusta que la maquina hiberne. Por que: porque cuando
el personal se retira piensa que la estación esta apagada,
y la deja encendida y con aplicaciones abiertas. Cuestión
que muchas veces dificulta la copia de respaldo y otras
actividades de mantenimiento. Igual se olvidan de apagarla, pero
en menor cantidad. Una vez que configuro la maquina como a mi me
parece adecuado, limito el usuario y establezco directivas; para
que no puedan instalar ni modificar absolutamente nada, Solo el
administrador puede hacerlo.

Limitaciones a recursos potencialmente
peligrosos:

Puertos USB, lectores de memorias,
unidades ópticas. Primero que nada deshabilitar el autorun
para todos estos dispositivos. Y luego ver quienes realmente lo
tienen que usar si o si; y al resto se los bloquea por software.
Algunos sistemas de gestión de seguridad permite
habilitarlos y deshabilitarlos desde la consola.

Protección de la
red:

Utilizar protocolo SSH o similar, para
cifrar toda la información que viaja por la red, y al
exterior. Utilizar claves RSA es una buena práctica. Casi
diría indispensable.

Protección de
servidores:

Siempre utilizar certificados para
permitir acceso a los servidores. Tener en cuenta los distintos
niveles de acceso posibles; públicos, privados. Yo no
dejaría accesos públicos a servidores privados,
tendría un servidor (virtual) para cada función. Y
dentro de los accesos privados distintos niveles de
certificación y con permisos rigurosos.

Protección de estaciones de
trabajo:

Ya casi he descrito la mayor parte de
las opciones para proteger las estaciones, accesos, limitaciones,
respaldos. También es posible y deseable instalar
certificados para cifrar los datos de la estación o los
usuarios confidenciales.

Actualizaciones de SO y
Apps

Debe contarse con las últimas
actualizaciones de los sistemas operativos y de las aplicaciones.
Debe monitorizarse este tema en forma permanente, sobre todo en
los servidores, pero no por eso se deben descuidar las
estaciones. Todo lo que se descuida, es una puerta de acceso a
las amenazas informáticas.

Software libre y software
propietario:

Doy por aceptado que en el caso de
software libre es necesario chequear el código fuente,
testear y verificar el origen. Pero carezco de experiencia en
esto. En cuanto al software propietario, parte lo mencionamos en
el punto anterior, parte hace a la forma de licenciamiento de
cada producto. Las mismas deben renovarse a su vencimiento para
poder seguir contando con actualizaciones y
soporte.

Contraseñas
robustas:

Pagina para verificar
contraseñas por ataques de fuerza bruta
https://howsecureismypassword.net/

Chequeen sus contraseñas
habituales, y sepan cuanto tiempo tarda un ataque de fuerza bruta
en averiguarla. Ej: "3556" tardan: 0.0000025 seconds en
descubrirla. EJ: "UTNcurso#1de_seguridad-informatica" tardan: 109
quattuordecillion years.

Así que cuidado con las
contraseñas como "admin" "123456" etc.

Sistema de
gestión de seguridad informática
(SGSI)

Este es el punto donde quería
llegar. En esto hay mucho para decir, pero voy a tratar de ser
sintético, enumerando puntos y utilizando
hipervínculos para ver ejemplos en este mismo documento.
Obviamente, voy a describir el que yo conozco y domino; sin
ánimo de hacer propaganda comercial; hay numerosos
productos en el mercado que son tan buenos o mejores que este. Lo
que para mi es valioso, es el concepto de funcionalidad que
permite. Administrable desde la nube, permite gestionar recursos
estando en cualquier punto del planeta.

Administración centralizada y
por perfiles, que deben ser correctamente definidos según
una sectorización de la organización, pero enfocada
exclusivamente a la seguridad. Generalmente difiere de las
utilizadas con otros propósitos.

Anti-Amenazas:
(llamarlo antivirus, me parece obsoleto). Protege contra
todos los virus conocidos, herramientas de hacking y PUPs,
Phishing y herramientas maliciosas, gusanos, espías,
troyanos, etc. Tanto en archivos, como en correo y
navegación web. Análisis de inteligencia
colectiva.

Firewall: Tanto para
estaciones como para servidores. Configurado en modo restrictivo,
creando reglas de excepción para los casos necesarios para
programas y puertos. Prevención de
intrusiones.

Control de dispositivos:
permitir o bloquear dispositivos usb, bluetooht,
CD/dvd.

Exchange:
protección completa de virus y spam, análisis
de inteligencia colectiva.

Control de acceso a páginas
web: bloqueos por categoría, por url, y
excepciones. Listas negras y blancas, según se prefiera.
El filtro por categoría es una magnifica herramienta, si
la paginas estuvieran bien categorizadas!!!. Por ejemplo, la
Anses está categorizada como "Política"…en
ese caso o desbloqueas esa categoría o generas una
excepción.

Área de
sistemas

Se dedica a relevar y analizar,
desarrollar, testear y poner en producción el soft
requerido por la empresa. No voy a detenerme en el quehacer de
estas áreas y sub áreas porque no hacen al planteo
de seguridad; pero si al funcionamiento eficiente de una gerencia
de sistemas y tecnologías de la
información.

Monografias.com

Lo que sigue es una breve
descripción (solo un 10 %) de las posibilidades de
gestión y seguridad que brinda un buen SGSI. Solo a titulo
informativo, para que los que gusten adopten este tipo de
servicio que agiliza el mantenimiento del parque y permite
controlar los niveles de seguridad.

ANEXO SGSI

SYSTEM MANAGEMENT:

Es importante contar con una buena
herramienta para realizar inventario de recursos de software y
hardware, que permita monitorear, modificar configuraciones de
las estaciones, lanzar aplicaciones, lanzar auditorias,
….

Ejemplos: