Muchas veces nos encontramos como administradores de una red y nos piden que la aseguremos, por lo general se nos viene a la mente poner firewalls, IPS, Comprar Antivirus, etc..
Pero que me diría si le digo que hay que comenzar por 7 cosas sencillas pero efectivas que no requieren de mayor inversión y por lo general son descuidos de administradores anteriores que pueden ser aprovechados por cualquiera, en este lapso de tiempo que usted aún no dispone de la “orden de compra” de todos esos elementos que ya conocemos pueden asegurar nuestra red.
Bien pues, hay peligros latentes y disponemos de estas soluciones que pueden ser aplicadas inmediatamente en la red y a los sistemas operativos, mientras llega el hardware y software “salvador”.
Para aquellos que no saben por dónde empezar, la información que deseo transmitirles en esta nota le permitirá comenzar a reducir las vulnerabilidades de la red de modo rápido y eficaz. Intento facilitarle el tipo de información que, al leerla, los administradores de sistemas estén obligados a decir:”Ojalá hubiera tenido esta información cuando empecé”.
Si siguen estas siete recomendaciones, podrán empezar a consolidar las defensas de su sistema:
1. Modificar la configuración predeterminada de las cuentas
Modificar las contraseñas por defecto
Recuerda que debes cambiar la contraseña por defecto de tu router apenas lo instales en tu red, además de cambiar esta periódicamente. Hay muchos sitios que le dan “luces” a los intrusos como el sitio:
http://www.routerpasswords.com
Para cualquier otro elemento que posea en tu infraestructura contraseñas hay también sitios como el que Lista de Contraseñas por omisión http://www.phenoelit-us.org/dpl/dpl.html
Que te parecería que entrase a tu casa si te dejas la llave en la puerta? Pues dejar las contraseñas por omisión es casi lo mismo y es muy fácil ya que muchos implementadores dejan la contraseña por misión para facilitar el trabajo y por pereza o desconocimiento se les olvida cambiarla.
Si creemos que esto no es tan posible con los sitios anteriormente apuntados entonces hagamos una búsqueda en Google con las palabras “default passwords” (contraseñas predeterminadas) produce 334,000 resultados o más.
Renombrar u ocultar las cuentas del administrador
Normalmente nadie tiene por costumbre hacerlo y aunque esta buena práctica no detiene a un intruso experto es una buena medida para protección contra los aprendices de hacker.
Si tienes duda como hacerlo, te proveo un enlace ejemplo que te dice cómo hacerlo en Windows XP.
http://zonaasegurada.blogspot.com/2011/11/cambiar-el-nombre-de-la-cuenta.html
Cambia la cuenta de administrador por algo totalmente inofensivo.
2. Use las cuentas de administrador sólo para tareas de administración
Muchos administradores del sistema se conectan con la cuenta “Administrador” o su equivalente para estar consultando correo electrónico, crear documentos, buscar nuevo software y otras tareas similares.
Usar la cuenta de administrador para estas tareas es sumamente peligroso. Si un archivo adjunto en un correo electrónico o alguna herramienta que haya descargado de Internet contiene algún virus y se ejecuta, tendrá un acceso sin restricciones al equipo o a la red, porque se ha ejecutado con privilegios de administrador.
Es muy importante usar las cuentas de administrador o sus equivalentes sólo cuando realice tareas de administrador del sistema. Muchos sistemas operativos proporcionan herramientas que permiten cambiar de manera rápida y eficaz el tipo de cuenta como el comando runas en Microsoft Windows y el uso de “su” y “sudo” en sistemas Unix.
3. Identificar puertos innecesarios o que no utilice
Los puertos son los lugares de entrada a una máquina. Cuando entramos a Internet formamos parte de él mismo gracias a que utilizamos nuestra IP.
Pongamos un ejemplo.
La IP que nos ha sido asignada sería la dirección de nuestra "casa". En esta casa hay habitaciones con unas puertas, de la cocina, lavabo, etc. Pues bien, las llaves que permiten entrar en estas habitaciones, serían los puertos.
Las máquinas conectadas a Internet habitualmente están esperando que otras máquinas se conecten a ellas. Un servidor web, por ejemplo, está permanentemente a la espera de que un visitante le solicite una página web. Las escuchas se realizan desde los puertos. Dos pares de direcciones IP y puertos determinan una conexión (socket) en Internet. Los servidores web escuchan por el puerto 80; los de FTP, por el 21; los servidores de correo, por el 25.
El seguimiento de la seguridad de cualquier máquina conectada a Internet comienza por un escaneado de puertos, con objeto de determinar sus puertas de entrada. Únicamente deben estar abiertos los puertos que sean imprescindibles para el funcionamiento del servidor.
La siguiente dirección nos lleva a una Web en la que podemos ver nuestra conexión y que puertos tenemos abiertos. Es la siguiente:
Probar mis Puertos
Allí pulsando en "Probe my Ports veremos cuál es nuestra IP y en que situación están los puertos más importantes.
Así mismo, pulsando en "Test my Shields" veremos hasta que punto estamos protejidos.
Un escaneado de puertos informa sobre la presencia de posibles vias de entrada a los troyanos.
Algunos puertos deben ser cerrados en prácticamente todas las situaciones. Entre ellos se encuentran: echo (7), discard (9), systat (11), daytime (13), netstat (15), chargen (19), bootp (67), tftp (69), finger (79), pop-2 (109), uucp (117) y NetBios (137, 138 y 139) y, en general, deben ser cerrados aquellos puertos que no sean imprescindibles como por ejemplo el puerto http (80), si nuestra máquina no es un servidor web.
Los puertos que nos deben preocupar son aquellos marcados como abiertos (open). El escáner también indica si los puertos están protegidos por cortafuegos (firewalled o stealthed), o no (unstealthed). Los estados firewalled o stealthed son preferibles al estado closed, debido a que no devuelven respuesta al que ha intentado hacer la conexión, sin embargo sólo se pueden obtener mediante un cortafuegos. Otros análisis adicionales pueden realizarse desde los sitios web de GRC, Secure-Me, Virtual Suicide o HackerWhacker.
Con la herramienta netstat en línea de comandos. El administrador puede identificar los puertos abiertos en el sistema.
4. Deshabilite, cierre o elimine servicios y demonios innecesarios o que no utilice.
Identificar las aplicaciones, servicios o procesos que abren puertos innecesarios es sólo la primera parte de la eliminación de los “puntos de conexión” para atacantes. La otra mitad se basa en eliminar o deshabilitar las aplicaciones, servicios o procesos responsables.
Los servicios que se deshabilitan en un equipo deben basarse en decisiones meditadas y planeadas. Existen listas que recogen los servicios que es recomendable deshabilitar, son bastante fáciles de encontrar si utilizamos en nuestro buscador las palabras “servicios innecesarios” seguidos del sistema operativo. Los podemos deshabilitar de diversos modos y elegiremos las herramientas según el número de sistemas que haya que modificar y el entorno de red.
5. Eliminar conexiones no autorizadas: inalámbricas y telefónicas
Se deben localizar todos los dispositivos y puntos de acceso inalámbricos: 802.11 y Bluetooth que estén operando en la empresa y no estén autorizados para operar. Si tiene una tienda de regalos cerca, ya tiene una red inalámbrica para su empresa, ya que si no tiene seguridad, sus empleados la podrían utilizar.
Localizar redes es considerablemente fácil, si la Tarjeta de interfaz de red (NIC) inalámbrica se instala y se configura correctamente, nos bastara abrir el programa “NetStumbler” para comenzar el proceso de localización.
También se debe eliminar conexiones telefónicas no permitidas, aunque no lo crea es muy utilizada para evadir las restricciones de Internet que tiene la empresa y los empleados siempre tratan de tener habilitada esta via de comunicación.
6. Establecer filtros para contenido malicioso para cada sistema operativo
A veces, muchos empresarios y administradores de sistemas creen que protegiéndose contra los códigos maliciosos que se instalan a nivel de las puertas de acceso (Gateway), no tienen que proteger el resto.
Esta es una mala apreciación, si se considera que a partir de la computación móvil, el código malicioso puede venir en un PDA al interior de nuestra red sin pasar por controles de Gateway.
Es importante tener programas instalados en cada equipo para identificar, bloquear y eliminar este contenido peligroso.
Una de las mejores prácticas es verificar que su antivirus tiene la fortaleza necesaria. Podemos empezar a buscar información en la página Web de ICSA Labs AntiVirus, https://www.icsalabs.com/products?tid[]=4216&x=35&y=10
ICSA Labs dispone de un proceso de certificación de programas antivirus muy completo.
7. Comprobar los procesos de restauración y copia de seguridad
Muchos administradores de sistemas experimentados han pasado largos fines de semana restaurando los datos de forma manual, después que el proceso de restauración les ha fallado. Hay que comprobar las copias de seguridad con regularidad, puede programarse según las necesidades y los recursos disponibles de la empresa.
Sabemos que estas siete cosas no lo va a proteger completamente pero creemos que no servirá para comenzar a mitigar los riesgos empresariales. Espero les sirva!!
