Seguridad en tu Empresa I

Ayudanos, compartiendo en tus redes sociales!

Bueno, esta vez me gustaría un poco escribir sobre la seguridad dentro de nuestra empresa. Claro que no me refiero a los guardias de la porteria, sino a cómo tu (SysAdmin) enfrentas a posibles agujeros que pudiesen existen frente a la seguridad en tus servicios, como por ejemplo el Proxy (usuarios que saltan tus reglas, etc), el Dominio (tabla de permisos), el Correo (virus, envios masivos, envios de alto tamaño en adjunto provocando lentitud, etc), etc. Está demás decir que varios son los usuarios que tal vez no tengan la capacidad (ni el tiempo) para encontrarle la quinta pata dejada a su Depto de Sistemas, pero hay muchos que si, que podemos verlos en Foros preguntando cómo saltarse las restricciones del Proxy, como actuar como Administrador en el Windows, etc, etc.-

Siempre he dicho que tener ordenado nuestras ideas y servicios es la clave para una seguridad interna casi perfecta, y digo casi porque soy de los “de la seguridad al 100% no existe”. Muchas son las medidas y/u opciones tomadas por muchos SysAdmin en nuestro país que no son sino mediocres o simplemente inutilizables o bien, lo utilizan a modo de configuraciones default donde, no estamos logrando un porcentaje de seguridad recomendado o querido. Otro punto critico es el seguimiento, el control, el monitoreo y la toma de precauciones a medidas minimas en nuestros sistemas como complejas. Esta nota en sí obliga a dividirse en varias partes, ya que no podría hablar de una sola vez de casi todos los servicios que podamos estar corriendo y que normalmente son los mas inseguros a nivel interno; pero tratemos de comenzar por los siguientes.-

Vale aclarar que todo lo que escribo más abajo son opiniones y/o preferencias personales.-

Para el Proxy, normalmente muchos usan el Squid otros el Microsoft ISA Server, muchos secretos no existen a nivel local. La clave es lograr no solo un filtrado de URL, sino también poder combinarlo con un sistema de restricción de usuarios (como el Dominio) MAC Allows e IP. El problema que radica normalmente es en el Filtrado por URL (Lista negra) y por un Filtro por MAC Allows; por qué?, muchos usuarios utilizan el webproxy, donde cada vez existen más!, es imposible intentar controlar tu tráfico de internet interno apartir de una lista negra, es mas sencillo crear grupos que tengan todo el trafico verde y otros que tomen los permisos de webs que están pre-cargadas en una lista blanca; el resto (horarios, webs exclusivas, etc) ya se configura aparte, pero que se disponga de una lista blanca es mucho mas efectiva que una lista negra. Otro punto, las MAC, muchos usuarios ya logran clonar las MAC de las maquinas instalandose un app exclusivo para ello, donde no solo crea una tarjeta de red virtual e invisible, sino que clona la MAC de la IP en nuestra Red que querramos; esto lo hacen y clonan de una PC que vean que si pueda entrar a su Facebook =/ por lo que la condicion debe ser ambas, si tu red se basa en IP Fijas debemos tener un control de IP==MAC para dar acceso, si tu red se basa en DHCP lo mejor es MAC==Usuario del Dominio, en realidad, la seguridad en general departe del proxy se basa a mi gusto en Usuario-MAC-IP, donde IP suele ser variable ya que no siempre es Fijo; entonces disponer de un Dominio es escencial en este caso (y en muchos otros) no importa si clona MAC, si se va a la otra maquina o use WebProxy, su Cuenta de Usuario ya se encuentra asociado a sus permisos Webs , se que todo suena obvio pero muchos SysAdmin no se han dado de enterado de medidas básicas a nivel proxy.

El Correo; un punto impotante, los usuarios no deben de tener acceso remoto (correo externo) directo, debe de pasar por un servidor interno que también ofrece servicio interno de correo, ésto es para poder localmente antes de ser entregado; ser copiado a una cuenta de Backup asociada, ser scaneada a nivel servidor sobre posibles virus en el adjunto, chequear si el adjunto cumple con nuestras politicas/criterios que elijamos y luego recien allí poder ser entregados a los usuarios de manera rápida (a nivel local) y más segura que un acceso directo al webmail del servidor externo en caso que sea externo. Las cuentas no deben de diponer de contraseñas universales como “123456” o el mismo nombre de la cuenta lo cuales son errores muy comunes. Las reglas de adjuntos no deben superar a los 3Mb de adjunto y las extenciones deben ser controladas por una lista blanca y no una lista negra. Los correos internos y externos deben ser entregados a los usuarios a nivel web, no hay necesidad que los usuarios bajen en su PC un correo consumiendo mas recursos con un Software de Mail y de ancho de Banda, un WebMail interno que maneje las cuentas Internas y Externas es lo mejor.-

El acceso remoto, en caso de ssh, no habilitar puerto 22, cambiar a otro que supere los 4000. No usar la cuenta root para loguearse desde afuera, usar un usuario con nada de permisos y desde dentro loguearse a un usuario con mayores permisos pero no el root.-

Implementar Dominio y Servidor de Archivos, con tu OS de elección, tener el dominio total de los permisos de tus usuarios, ningun usuario debe de correr su perfil a nivel local, todo bajo el dominio, para ello al instalar el OS cliente conectar directo al Domain y creando solo la cuenta Administrador a nivel local con una contraseña exclusiva para que no haya manera de ser ejecutado a nivel local. El servidor de archivos tomará a los usuarios creado en el Dominio para poder configurar los permisos de acceso a las carpetas y archivos en el Servidor, de esta manera se deja el uso del Pendrive a nivel interno y gracias al Dominio se anula el uso del mismo (USB); con esto no solo se ahorra una gran entrada de virus como es el Pendrive sino que también prevenis el uso de Modems 3G (USB) de usuarios osados.-

El monitoreo constante debe ser implementado, los archivos logs no estan de decorado, existen muchas aplicaciones para unificar el uso de archivos de registros para poder ser monitoreados correctamente y unificadamente en un solo lugar, yo recomiendo el uso de Ossim que es una muy opción para lograr esto. También con el monitoreo acompañar a la actualizacion, disponer de una herramienta que unifique nuestras actualizaciones en nuestro sistema, poseer un servidor de repliques de servicios y otro de pruebas para analizar su correcta y futura implementación.-

Existen muchos puntos que en lo personal me gustaría -como en esta oportunidad- compartir para justamente recibir el Feedback deseado, analizar y darnos cuentas sobre puntos conocidos, basicos pero que muchas veces no son tomados. En lo personal escribo también apartir de haber observado en varias empresas de nuestro pais (PyMes mas) medidas de seguridad desastrozas y en algunos casos, ninguna medida de seguridad o medidas que nos hacen ver que tan pobre el conocimiento de algunos SysAdmin o el tan poco interes.

Saludos y existe mucho por añadir, veremos en las proximas entradas!.-

Si te gustó, no te olvides de ayudar compartiendo en las Redes Sociales!