Protección de Activos (III)

Continuando con la serie de Protección de Activos, donde quiero hacer ver que para proteger los activos de una organización es interesante apoyarse en una metodología de protección por capas, comenzando con la Capa Administrativa, siguiendo con la Capa Física y terminando con la Capa Técnica. A continuación veremos algunas tareas técnicas que podemos llevar a cabo para proteger los activos de nuestra organización:

Capa de protección Técnica

• El control de acceso a la red (NAC), sistemas y aplicaciones suele ser una de las principales preocupaciones, para ello se recomienda utilizar el protocolo 802.1X que hace uso del protocolo AAA para la autenticación, autorización y contabilidad de los usuarios, para ello se emplea servicios como Radius. Además se puede hacer uso de mecanismos de Single Sign On (SSO) que junto con Kerberos permite que el usuario tan solo tenga que introducir la contraseña una vez para acceder a todos los recursos de la organización. Es importante no proporcionar más permisos a los usuarios de los estrictamente necesarios para su labor diaria.

• Ya he comentado varias veces que la seguridad no está solo en el cortafuegos, disponer de un cortafuegos crea una falsa sensación de seguridad si los usuarios pueden instalar un módem USB en los equipos o si no se configura y monitoriza correctamente las políticas de firewalling. Con los cortafuegos UTM podemos controlar hasta la capa 7 del modelo OSI, o incluso hasta la mágica capa 8 que nos permite aplicar políticas por usuarios. Si además necesitamos cumplir el ENS deberemos implantar dos barreras de cortafuegos de distinto fabricante.

• Cada vez somos más conscientes de la necesidad del antivirus, sin embargo establecer una doble barrera de distinto fabricante del analizador de virus es una buena práctica, la primera barrera en el el sistema UTM y la segunda en los equipos finales.

• Las redes cada vez están más “abiertas” debido a que mediante conexiones remotas podemos acceder a los recursos internos de la organización. Para ello podemos establecer VPN “site to site” o “dialup to site”, en cualquier caso es recomendable utilizar protocolos seguros como IPSec o SSL. Además, se aconseja utilizar autenticación de doble factor mediante token mobile o token USB.

• Ante la necesidad de implantar redes inalámbricas podemos utilizar el estándar 802.11i configurando WPA2-Enterprise con autenticación Radius.

• Los Sistemas de Prevención y Detección de Intrusos (IPS e IDS respectivamente) son herramientas que nos protegerán y alertarán de ataques. Si además implantamos Host-IDS y Wireless-IDS estaremos mucho mejor protegidos. Existen IDS basados en firmas, comportamiento o ambos.

• Para transportar datos fuera de la organización y realizar comunicaciones seguras utilizando Internet es imprescindible utilizar algoritmos de cifrado. La mayoría de las veces utilizamos criptografía simétrica o de clave privada, sin embargo es una buena práctica utilizar criptografía asimétrica o de clave pública (PKI). Por otro lado existe la criptografía de curva elíptica, aunque no es recomendable, y la criptografía cuántica, aunque aún no existen productos comerciales para este último mecanismo de cifrado robusto.

• Para todo tipo de comunicaciones se sugiere utilizar protocolos seguros como HTTPS, POP3S, IMAPS, SMTPS, SSH, SNMPv3, etc.

• Las contraseñas son únicas, personales e intransferibles por ello es útil utilizar herramientas para almacenar y proteger las credenciales de manera cifrada. Además hay que cambiarlas cada cierto tiempo, exactamente lo que indique la política de seguridad, por lo que se hace aún más necesario utilizar herramientas para almacenarlas, de esta manera no las olvidaremos. Si no utilizamos la misma contraseña para todo, no caeremos en el grave error en el que si el atacante adivina la contraseña podrá acceder a todos los recursos. También se recomienda realizar copia de seguridad del archivo de contraseñas, ya que ante la necesidad de restaurar un sistema necesitaremos las credenciales que tenía el equipo cuando se hizo la copia de seguridad.

• Es recomendable disponer de sistemas de correlación de eventos (SIEM), analizadores de vulnerabilidades, analizadores de puertos, sistemas de monitorización de la red y sistemas de monitorización de la disponibilidad de los servicios.

• La mayoría de los sistemas tienen la posibilidad de habilitar los módulos de auditoría para dejar evidencia de los eventos y accesos al sistema, muy aconsejable habilitarlo para futuros análisis forenses.

• Para que los sistemas estén disponible el mayor tiempo posible es necesario redundar las comunicaciones, configurar cluster de servicios y aplicaciones, implantar mecanismos RAID para la redundancia de discos e incluso evaluar la necesidad de tener instalaciones (CPD y oficinas) redundantes. Todo ello será estudiado en los planes de continuidad del negocio y recuperación ante desastres.

• La telefonía suele ser un servicio crítico y cada vez se utiliza más VoIP mediante centralitas PBX, lo que conlleva que el servicio adquiere todas las amenazas y problemas de cualquier activo de la red de datos, por tanto no olvidemos también asegurar este activo tan importante.

• A nadie nos gusta que un tercero nos diga que no lo estamos haciendo todo lo bien posible, sin embargo es una manera de evaluarnos y mejorar, para ello se recomienda realizar test de penetración (caja blanca y caja negra), además de auditorías externas.

Como vemos, me ha quedado una entrada demasiado larga, debido a la gran cantidad de protocolos, estándares y técnicas disponibles para proteger técnicamente nuestros activos, así que manos a la obra que hay mucho por hacer.