A continuación una serie de puntos a seguir con el objetivo de asegurar su red contra intrusos. Este material es reunido tras horas de investigación en la internet, problemas ocurridos en trabajos anteriores y actuales así como el sentido común.
Este artículo forma parte de la charla de seguridad en redes informáticas que impartimos en diferentes ciudades del Ecuador. De estar interesado, por favor contáctenos para acordar una charla en su empresa o universidad.
Recopilación de información
Éste aspecto incluye 3 fallas de seguridad que permiten la penetración del sistema con el objetivo de sustraer informatión o datos sensitivos
1- Suplantación de identidad o Robo de identidad
Se puede pensar que es un problema obvio, pero en realidad muchas organizaciones caen en el descuido de no preveer este asunto. Deben chequearse los siguientes puntos:
¿Estan las libretas telefónicas y las listas de vendedoras o contratos restringidas a la organización o pueden ser vistas o tomadas fuera de ella?
¿Se requiere de identificación u otro método de identificación por el personal de seguridad antes de entrar a la compañía?
¿Se chequea la autenticidad de todas las preguntas hechas por email, teléfono u otro método?
2- Software no deseado
Es el software que está dentro de su compañía de forma no deseada y normalmente no conocida que recolecta información de lo que sucede en la red y se la envía a su amo fuera de la compañía
¿Son los sistemas regularmente chequeados contra viruses, caballos de troya, etc?
¿Está la red interna protegida por un firewall en conjución con un sistema de detección de intrusos (IDS)?
¿Se chequean programas no creados dentro de su compañía contra usos no autorizados?
3- Amenazas internas
Ésta área es poco considerada por las empresa, sin darse cuenta de que los propios empleados de la compañía son una gran fuente de información para usos no autorizados
¿Se está chequeando el pasado laboral de los empleados antes de contratarles? Lo que un currículum dice no es lo que en verdad sea el empleado
¿Está preparado para afrontar el posible daño hecho por un empleado disgustado?
¿Está el sueldo de sus empleados acorde con la posición laboral de éste?
¿Revisan el código generado por sus empleados de forma regular para prevenir posibles caballos de troya?
¿La información de respaldo está al día? ¿Es recuperable?
Daños al sistema
En este punto se incluyen cuatro posibles fallas de seguridad que permiten la interrupción o daño de datos y su sistema informático
4- Fallas en el personal
Las personas son la parte más débil en un plan de seguridad. Un entrenamiento apropiado puede preveer la mayoría de las fallas de seguridad.
¿Son todas las preguntas sobre la empresa enviadas a una sola persona? No se debe dar información sobre la empresa de forma libre.
¿Está al tanto de quién está a su alrededor y de si esa persona está en su área de trabajo designada?
5- Vulnerabilidades en el navegador y/o en el sistema
Errores o fallas de programación en estos pueden permitir la ejecución de código no autorizado que permita obtener información de la empresa
¿Está atento a errores de compilación y revisa el código fuente?
¿Mantiene al día sus sistemas con las últimas actualizaciones? Todo vendedor o desarrollador de sistemas pone en su sitio web las actualizaciones a su software para que los usuarios puedan bajarlas y mantener su sistema libre de errores.
¿Cómo podemos usar aplicaciones alternativas (Eudora, Ópera, links, lynx) o plataformas alternativas (Mac, Linux, Un*x) para prevenir infecciones de los sistemas windows? Al usar alternativas menos comunes podemos hacer más difícil la infección.
¿Están los ejecutables adjuntos siendo filtrados por la mensajería saliente y la entrante? Es importante que no se envíen ficheros ejecutables por email, se pueden comprimir o se pueden poner en un sitio especial de la intranet de la empresa para que sean recogidos de ahí, pero cualquier fichero ejecutable que salga o entre debe ser previamente revisado o mejor, puestos en espera hasta que el cliente o el administrador manualmente verifiquen que no esté contaminado.
¿Ha concientizado a sus usuarios de que no abran adjuntos no verificados o no esperados?
6- Inseguridades en las redes inalámbricas
Las redes inalámbricas están siendo instaladas por las empresas de forma acelerada, poniendo sus redes al descubierto en el éter, lo que puede permitir un ataque mediante este sistema. Algo que es más difícil de hacer por el medio del cable.
¿Sus sistemas usan direcciones MAC? Es muy fácil cambiar las direcciones MAC para tener entrada a un sistema. El sistema no debe recaer toda la seguridad en éste tipo de verificación.
¿Usan sus sistemas WEP (wired equivalent privacy) para proteger los datos? No se base únicamente en WEP para proteger sus datos, están propensos a ser engañados y permiten el paso de datos no deseados.
¿Está su sistema usando archivos de configuración por defecto? Cambie algunas configuraciones por defecto de manera que no sean fáciles de averiguar.
¿Usa su sistema autenticación fuerte (strong authentication)? Es necesario implementar, de ser posible, sistemas de autenticación de forma tal que los sistemas una vez que comiencen a funcionar se autentiquen contra una BD.
¿Se puede usar tecnología VPN para asegurar los datos que se envían sobre los enlaces inalámbricos?
Los datos encriptados son difíciles de obtener, y para mejorar la seguridad de la red es sugerible el uso de VPN entre sus puntos terminales.
¿Está monitoreando la red inalámbrica contra accesos no autorizados?
¿Están sus sistemas inalámbricos en una zona desmilitarizada o detrás de un firewall o proxy? El tráfico inalámbrico debe ser mantenido en un lugar que pueda se controlado fácilmente y que no sea de público acceso.
7- Ataques de negación de servicio
Estos ataques conocidos como DoS en inglés (o peor aún DDos) se están haciendo cada día más sofisticados, en algunos casos inician como un efecto colateral de otro ataque.
¿Están siendo filtradas las direcciones de la RFC1918 tanto para tráfico entrante como saliente? Las direcciones no enrutables no deben salir de ni entrar a la red
¿Están las direcciones falseadas siendo prevenidas de salir de la red? Use prácticas universales para prevenir que direcciones que no pertenecen a su red salgan de sus routers
¿Está atento de sobreuso de su ancho de banda o saltos bruscos en esta? Transferencias no autorizadas normalmente se reflejan con un alto uso del ancho de banda durante períodos de tiempo que pueden variar en minutos o hasta en días completos.
¿Regularmente realiza comprobaciones en su sistema contra fallas de seguridad o máquinas comprometidas (hackeadas)?
Secuestro de sistemas
El uso de los sistemas de una empresa como base de operaciones para operativos clandestinas para secretamente comunicarse con otros o acceder a otros sistemas desde el de otra empresa es lo que se llama secuestro de sistemas.
8- Estenografía. Es el arte y ciencia de esconder el una comunicación en curso. Toca temas como esconder mensajer dentro de otro, o dentro de imágenes, sonidos u otros archivos binarios con el objetivo de realizar comunicaciones clandestinas.
¿Realiza chequeos contra softwares no autorizados en las computadoras de la compañía?
¿Realiza chequeos en listas de distribución, grupos de noticias u otros medios con el objetivo de conocer qué se habla de la empresa? Este chequeo es importante pues los crackers usan estos para comentar sus actividades presentes o pasadas.
¿Es el tráfico saliente y entrante chequeado contra contenidos inusuales como por ejemplo mp3 o salvapantallas?
9- Entubamiento o bypassing
El entubamiento (tunneling) permite comunicaciones en un medio donde una comunicación directa no puede ser posible por la implementación de firewalls o proxies que limitan el tráfico. Muchas redes asumen que al tener un firewall o un proxy, la comunicación con el exterior no puede ser posible y por lo tanto están a salvo en este caso. Siendo un hecho de que existen aplicaciones que permiten transportar datos en los puertos abiertos de un firewall.. como por ejemplo el http tunneling que permite enviar datos a cualquier puerto
¿Chequea regularmente los históricos del sistema y el tráfico que pasa por los proxies de su organización?
¿Ha impuesto límites en cuáles son los puertos que se permiten acceder desde dentro de la compañía? Mantenga una lista de puertos que realmente son necesarios para las personas de dentro de la compañía, para el trabajo de la compañía, si es posible una lista de sitios que pueden aceder.para que no vayan a otros lugares y no desperdicien ancho de banda ni que otros se puedan aprovechar para abrir huecos de seguridad en el sistema.
¿Chequea tráfico VPN no autorizado originándose desde su organización?
10- Gusanos, Caballos de troya y virus
Estos ataques están volviéndose más frecuentes y mucho más sofisticados cada día y la próxima generación será más virulenta ya que están usando múltiples métodos de ataque, penetración y distribución.
¿Realiza chequeos contra softwares no autorizados en las computadoras de la empresa?
¿Están los antivirus siendo actualizados de una forma rutinaria y automática?
¿Cómo podemos usar aplicaciones alternativas (Eudora, Ópera, links, lynx) o plataformas alternativas (Mac, Linux, Un*x) para prevenir infecciones de los sistemas windows? Al usar alternativas menos comunes podemos hacer más difícil la infección
¿Ha concientizado a sus usuarios sobre cómo pueden los programas maliciosos ser propagados y cómo prevenir las infecciones por estos?
¿Se usan filtros para encontrar programas maliciosos entrando o saliendo de la lan?
Desinformación
Dos fallas de seguridad se incluyen en ésta parte que permiten la diseminación de:
- rumores falsos por la vía electrónica que son recogidos por la prensa como verdaderos
- Crackear servidores de noticias para distribuir información falsa y/o tendenciosa.
11- Envenenamiento de DNS y secuestro de dominios
¿Son sus servidores DNS seguros?
¿Nuestro registar requiere que le demos password para registros de dominios y cambios en estos? Los emails pueden ser falsificados. Siempre se debe requerir de una página en SSL o un email encriptado con PGP para realizar cmabios en los dominios.
¿Las transferencias de zonas son autorizadas para prevenir que se revelen los nombres y direcciones IP de nuestra red a otras personas? Analizar las respuestas de un dns son el primer paso para entrar a un sistema. No permita transferencias de partes no autorizadas que puedan revelar partes privadas de su LAN.
12- Cambios en los contenidos de un web site
El cambio de los contenidos de un sitio es algo común y está siendo usado como un método para distribuir propaganda, rumores y desinformación, aunque existe el vandalismo contra los sitios.
¿Son sus sitios principales actualizados continuamente desde sus servidores de programación/prueba?
¿Se usa la autenticación de usuario para el manejo de información sensitiva? Debe conservarse traza de todos los cambios hechos en los sistemas informáticos con el objetivo de detectar posibles intrusiones.
¿Mantiene actualizaciones de software y políticas de seguridad en los servidores web? Verifique que esos servidores estén bien protegidos.
¿Están sus servidores web en una zona desmilitarizada? Si es así, en caso de que el servidor sea comprometido, hasta ese punto llegará el intruso.
¿Realiza chequeos de código para prevenir faltas comunes como desbordamiento de buffers en los servidores expuestos a la internet? Buenas prácticas de programación deben ser usadas por todos. Separe los servidores de bases de datos y de aplicaciones de los servidores web.