UNIVERSIDAD CENTRAL “MARTA ABREU” DE LAS VILLAS FACULTAD DE INGENIERÍA ELÉCTRICA
Departamento de Electrónica y Telecomunicaciones
T TRABAJO DE DIPLOMA PROPUESTA DE CONFIGURACIÓN DE SEGURIDAD PARA LA INTRANET ARTEX SANCTI SPIRITUS. AUTOR: Reinier Hernández Socarras TUTOR: Ing. Orestes Rodríguez Alvarado SANTA CLARA 2008 “Año 50 de la Revolución”
UNIVERSIDAD CENTRAL “MARTA ABREU” DE LAS VILLAS FACULTAD DE INGENIERÍA ELÉCTRICA
Departamento de Electrónica y Telecomunicaciones
T TRABAJO DE DIPLOMA PROPUESTA DE CONFIGURACIÓN DE SEGURIDAD PARA LA INTRANET ARTEX SANCTI SPIRITUS. AUTOR: Reinier Hernández Socarras Email:
[email protected] TUTOR: Ing. Orestes Rodríguez Alvarado Email:
[email protected] SANTA CLARA 2008 “Año 50 de la Revolución”
Hago constar que el presente trabajo fue realizado en la Universidad Central “Marta Abreu” de las Villas como parte de la culminación de los estudios de la especialidad de Telecomunicaciones y Electrónica autorizando a que el mismo sea utilizado por la Institución, para los fines que estime conveniente, tanto de forma parcial como total y que además no podrá ser presentado en eventos, ni publicados sin autorización de la Universidad.
________________ Firma del Autor
Los abajo firmantes, certificamos que el presente trabajo ha sido realizado según acuerdo de la dirección de nuestro centro y el mismo cumple con los requisitos que debe tener un trabajo de esta envergadura referido a la temática señalada.
________________ Firma del Tutor
___________________________ Firma del Jefe de Dpto. Donde se defiende el trabajo
____________________________ Firma del Responsable de Información Científico- Técnica
PENSAMIENTO
En las ciencias no hay calzadas reales y quien pretenda escalar sus luminosas cumbres, tendrá que subir la montaña por senderos escabrosos. Carlos Marx
AGRADECIMIENTOS Agradezco de manera infinita a muchas personas que tuvieron que ver en estos años de mi formación profesional, a mis padres y hermanos, a Estela, a mi hijo quien vino al mundo en los años de carrera y supo esperar sin reclamar cuando no podía estar con él por estar estudiando, a mis tías y primos, a mí amigo Alexander, a Rubén, a Tony y Zuleika, a mis compañeros de trabajo, a Wilberto y Margot, a Tania, a los que confiaron en mí y ¿por qué no?, a los que no confiaron, a los que me probaron y me pusieron un reto, a mis compañeros de aula, al Centro de Información de los Joven Club en Sancti Spiritus, a Nápoles y Pepe Díaz Quiñones, a mí tutor por los deseos para esta investigación, a mis profesores por estos años inolvidables, en fin, a todos.
DEDICATORIA
A mi hijo Diego, a mi tío Félix, a mis abuelos y mis padres.
TAREAS TÉCNICAS ¾
Determinación de los referentes teóricos sobre la seguridad en las redes de datos para contextualizar en problema, obtener el sustento de la propuesta y su fundamentación.
¾
Caracterización del funcionamiento de la red según la seguridad de los servicios brindados.
¾
Elaboración de la propuesta para la implementación de herramientas que permitan mejorar la seguridad en las redes de computadoras.
¾
Elaboración de una guía de configuración de seguridad para la intranet de la empresa Artex Sancti Spiritus.
RESUMEN El presente trabajo trata sobre la seguridad informática en las redes de datos. Se realiza un estudio de los referentes teóricos en cuanto a seguridad en redes. Muestra los principales elementos que atentan contra la seguridad de los sistemas informáticos conectados en red, así como los ataques más comunes a los que son vulnerables. Se realiza un estudio y caracterización de la intranet de la empresa Artex Sancti Spiritus en cuanto a los servicios de red que brinda, a las herramientas de seguridad como scanners de vulnerabilidades en redes de datos, donde se determinan diferentes vulnerabilidades que presentan estos servicios. Como caso concreto se proponen herramientas para aumentar la seguridad en la red de la empresa mencionada, de manera que se controle el mal uso del correo electrónico, mejorar la seguridad de los controladores de dominio, además de realizar una nueva configuración de la red para reforzar la seguridad informática en las redes de datos, y la administración de las actualizaciones de seguridad.
ÍNDICE INTRODUCCIÓN .................................................................................................... 1 CAPÍTULO 1: Fundamentos de Seguridad en Redes de Datos ............................. 6 1.1 Seguridad Informática.................................................................................. 6 1.1.1 Elementos a proteger en una red.......................................................... 6 1.1.2 Elementos que atentan contra la seguridad.......................................... 7 1.2 Seguridad Física.......................................................................................... 8 1.3 Seguridad Lógica......................................................................................... 9 1.4 Principales Ataques ................................................................................... 10 1.5 Programas Malignos o Malware. ............................................................... 13 1.5.1 Virus informáticos................................................................................ 13 1.5.2 Troyanos o Caballo de Troya.............................................................. 14 1.5.3 Spam (Correo Basura) ........................................................................ 15 1.6 Herramientas de Seguridad para Detectar Vulnerabilidades..................... 15 1.7 Mecanismo de Seguridad en Windows 2003 Server ................................. 18 1.7.1 Asistente de configuración de seguridad en Windows 2003 Server ..... 18 CAPÍTULO 2: Propuesta de Configuración de Seguridad .................................... 20 2.1 Características de la Intranet de la Empresa............................................. 20 2.1.1 Servicios brindados en la Intranet ....................................................... 20 2.2 Vulnerabilidades de los servicios brindados. ............................................. 22 2.3 Vulnerabilidades encontradas con Herramientas de Seguridad. ............... 24 2.4 Propuesta de configuración de seguridad. ................................................ 27 2.4.1 Asegurando la red con NAT (Traducción de Direcciones de Red)...... 27 2.4.2 Asegurando el Servidor ISA Server. ................................................... 29 2.4.3 Asegurando el acceso al Router. ........................................................ 31 2.4.4 Asegurando el Controlador de Dominio. ............................................. 32 2.4.5 Propuesta de Implementación del SurfControl Email Filter................. 36 2.4.6 Propuesta de Implementación del WSUS en la Intranet ..................... 38 CAPTULO 3: Guía para la implementación de la propuesta en la intranet........... 41 3.1 Guía para configurar NAT en el servidor ISA Server 2004. ......................... 41
3.2 Guía para Asegurar los Controladores de Dominio. .................................... 45 3.3 Guía para configurar SurfControl Email Filter.............................................. 53 3.4 Guía para Instalar el WSUS en la Intranet................................................... 60 Conclusiones....................................................................................................... 66 Recomendaciones .............................................................................................. 67 Bibliografía .......................................................................................................... 68 Glosario Anexos
INTRODUCCIÓN
INTRODUCCIÓN La seguridad informática es un tema que está muy de moda en estos tiempos con el desarrollo de la informática y las telecomunicaciones en el mundo. La seguridad en las redes de computadoras toma un papel fundamental para la protección de las redes de medianas y pequeñas empresas. Para conseguir un tratamiento en profundidad sobre la protección de los datos y la información que reside en ellas se necesita realizar un estudio de los factores para poder limitar el mal uso de la tecnología en contra de la pérdida accidental o mal intencionada de la información.
La información es un recurso que, como otros importantes activos, tiene un alto valor para una organización y por consiguiente debe ser debidamente protegida. La seguridad de la información protege ésta de una amplia gama de amenazas, a fin de garantizar la continuidad del funcionamiento seguro, confiable e integral que requieren estas organizaciones.
En Cuba la mayoría de los organismos y empresas basan su completo funcionamiento sobre las redes de computadoras, principalmente sobre la plataforma de Microsoft. La seguridad de estos sistemas operativos es un tema muy analizado puesto que se argumenta que esta compañía basa sus sistemas operativos en el punto de vista comercial, y no en el de la seguridad. La empresa Artex Sancti Spiritus sustenta sus principales servicios sobre servidores Windows 2003 Server. De la seguridad y la estabilidad de dichos servicios y aplicaciones depende el buen funcionamiento de la intranet de la empresa. Existe una gran variedad de estándares de protocolos que implementan en alguna medida seguridad en las intranets, también se cuenta con numerosas herramientas y aplicaciones que brindan seguridad a los principales servicios ofrecidos, y ayudan a aminorar las vulnerabilidades que estos presentan.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
1
INTRODUCCIÓN El Ministerio de la Informática y las Comunicaciones (MIC) es el organismo encargado de dictaminar las resoluciones en cuanto al uso de las TIC, ejemplo de esto es la Resolución No 127 / 2007 (Reglamento de Seguridad para las TIC)en la que se plantea y aprueba los lineamientos para el perfeccionamiento de la seguridad de las tecnologías de la información en el país, disponiendo que se realice un reglamento de seguridad informática que responda a las necesidades actuales en esta materia para su aplicación en todo el territorio nacional, así como las normas, regulaciones y procedimientos que se requieran para el cumplimiento de los citados lineamientos.[MIC, Resolución 127/2007]
De manera general se realizó la observación y el análisis del funcionamiento de la intranet de la empresa Artex Sancti Spiritus en cuanto a seguridad de los servicios brindados para poder determinar las vulnerabilidades presentadas para contar con un respaldo seguro para estos servicios y no parar el funcionamiento de la empresa si alguno de estos problemas llegara a prolongarse.
Se determinó que no existe una configuración de seguridad aceptable, prescindiendo de herramientas de seguridad como para el control del correo electrónico, mala configuración del cortafuegos, instalaciones de seguridad por defecto, se reveló la carencia de una herramienta para el despliegue de actualizaciones automáticas de los sistemas operativos Windows y demás aplicaciones de Microsoft.
La problemática principal consiste en la carencia de estudios sobre los diferentes parámetros de seguridad de los servicios que brinda la intranet de la empresa Artex Sancti Spiritus, es por eso que se adopta el siguiente problema científico:
¿Cómo contribuir al mejoramiento de la seguridad en la intranet de la empresa Artex Sancti Spiritus?
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
2
INTRODUCCIÓN Para la solución de este problema se derivan las siguientes interrogantes: ¾
¿Cuáles son los referentes teóricos que sustentan la seguridad informática en las redes de computadoras?
¾
¿Qué servicios se deben proteger y qué vulnerabilidades presentan estos servicios?
¾
¿Qué herramientas proporcionan la información necesaria para mejorar la seguridad de la intranet de la empresa Artex Sancti Spiritus?
¾
¿Qué resultado se obtendrá al contar con una intranet más segura?
Por lo antes planteado, el objetivo general es: fundamentar una propuesta de configuración de seguridad para la intranet de la empresa Artex Sancti Spiritus.
Para lo cual se han propuesto los siguientes objetivos específicos: ¾
Determinar los referentes teóricos sobre la seguridad en las redes de datos para contextualizar en problema, obtener el sustento de la propuesta y su fundamentación.
¾
Caracterizar el funcionamiento de la red según la seguridad de los servicios brindados.
¾
Elaborar la propuesta para la implementación de herramientas existentes que permitan mejorar la seguridad en las redes de computadoras.
¾
Elaborar una guía de configuración de seguridad para la intranet de la empresa Artex Sancti Spiritus.
El siguiente trabajo está estructurado en introducción, tres capítulos, conclusiones, recomendaciones, referencias bibliográficas, glosario de términos y anexos. A continuación se detalla la estructura.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
3
INTRODUCCIÓN Capítulo 1: Fundamentos de Seguridad en Redes de Datos. Se dedica a la fundamentación teórica de la seguridad informática, en el mundo y en Cuba, los mecanismos que atentan con la seguridad de las redes de computadoras, principales ataques y riesgos a tomar en cuenta a la hora de proteger una red de cómputo.
Capítulo 2: Propuesta de Configuración de Seguridad en la intranet de la empresa Artex Sancti Spiritus. Se aborda lo referido al análisis y caracterización de la intranet de la empresa Artex Sancti Spiritus, mediante herramientas de detección de vulnerabilidades en los servicios brindados y la realización de la propuesta de configuración de seguridad para la intranet.
Capítulo 3: Guía para la implementación de la propuesta. Se muestra una guía para la implementación de la propuesta de configuración de seguridad en la intranet Artex Sancti Spiritus.
En este informe de tesis se han utilizado un conjunto de términos en inglés. Al final del cuerpo del trabajo se anexa un glosario que contiene una descripción más detallada de los mismos.
Se utilizaron los métodos de nivel teórico, empírico y estadístico.
Del nivel teórico: ¾
Análisis y síntesis: Se emplearon para el estudio de los fundamentos teóricos, lo que permitió la determinación y reflexión de lo planteado por la bibliografía consultada y los resultados obtenidos, lo que posibilitó fundamentar el problema científico.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
4
INTRODUCCIÓN ¾
Inducción y deducción: Posibilitó penetrar en el estudio del fenómeno que se investiga para lograr un mejoramiento en la propuesta de herramientas para la configuración de seguridad en las redes de datos.
¾
Análisis histórico lógico: Permitió analizar el desarrollo histórico de la implementación de herramientas de seguridad en las redes de datos.
Del nivel empírico: ¾
Observación científica: Posibilitó el análisis para obtener la información directa
e inmediata sobre las carencias y necesidades que presenta la
intranet de la empresa Artex Sancti Spiritus. ¾
Análisis documental: Permitió conocer lo que se establece estatalmente sobre la seguridad informática.
Del nivel estadístico: ¾
Estadística descriptiva: Permitió representar, organizar e interpretar
los
indicadores obtenidos en la presente investigación.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
5
CAPITULO I FUNDAMENTOS DE SEGURIDAD EN REDES DE DATOS
CAPÍTULO 1: Fundamentos de Seguridad en Redes de Datos 1.1 Seguridad Informática La seguridad informática en general es un tema que no siempre se le presta la importancia que realmente tiene, ya que mantener un sistema informático libre de intrusiones, amenazas, virus, desastres, vulnerabilidades, no es una tarea fácil. Se requiere de dedicación, nunca se está exento de presentar un problema de esta índole, por lo tanto este tema se torna importante para cualquier empresa, organismo que sustente su funcionamiento sobre una red de datos. Según Andrews S. Tanenbaum, 2002 la seguridad es un proceso continuo de reducción de riesgos donde sus problemas esenciales se dividen en tres áreas, la confidencialidad, validación de la identificación y no repudio de la integridad. Según criterios de Antonio Villalón Huerta, 2002 seguridad es la característica de cualquier sistema informático o no, que indica que ese sistema está libre de todo peligro, daño o riesgo, y que es, en cierta manera, infalible. Tomando particularidad el caso de los sistemas operativos y las redes de computadoras, en donde plantea que es imposible conseguir la seguridad absoluta, de esta forma suaviza la definición de seguridad y la cambia por habilidad (probabilidad de que un sistema se comporte tal y como se espera de él) más que de seguridad; por tanto, se habla de sistemas fiables en lugar de hacerlo de sistemas seguros. Es por ello, que el autor considera que seguridad informática es un conjunto de acciones encaminadas a proteger un sistema informático, individual o conectado a una red frente a cualquier amenaza accidental o intencionada.
1.1.1 Elementos a proteger en una red Los elementos principales a proteger en un sistema informático son el software, el hardware y la información, pero habitualmente la información constituye el principal elemento a proteger de cualquier amenaza, ya que una computadora, puede sufrir daños físicos o de sistema, y según la prioridad se puede solucionar. Sin embargo, en caso de pérdida de una base de datos o de un proyecto de un usuario, no tenemos un medio original desde el cual restaurar: hemos de pasar obligatoriamente por un sistema de copias de seguridad, y a menos que la política
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
6
CAPITULO I FUNDAMENTOS DE SEGURIDAD EN REDES DE DATOS de copias sea muy estricta, es difícil devolver los datos al estado en que se encontraban antes de la pérdida. [Villalón Huerta, Antonio (2002)] Existen cinco conceptos que se deben tener en cuenta para la protección de la información: integridad, disponibilidad, confidencialidad, evitar el rechazo y autenticación. ¾
Integridad: es la característica de permanecer intacta en su origen, a menos que sea modificada por personas con permiso para hacerlo, esta se puede ver afectada por problemas de hardware, software, virus o personas mal intencionadas.
¾
Disponibilidad: característica de estar siempre disponible para su uso por personas autorizadas, también se ve afectada por los mismos problemas que la integridad.
¾
Confidencialidad: es la privacidad
y se refiere a que la información solo
puede ser conocida por individuos autorizados. [Berenguela Castro, Alfonso; Cortes Collado, Juan Pablo (2006)]. ¾
Evitar el repudio: Constituye la garantía de que ninguno de los sistemas involucrados pueda rechazar una operación realizada.
¾
Autenticación: Consiste en la confirmación de la identidad de un usuario; es decir, la garantía para cada una de las partes de que su interlocutor es realmente quien dice ser. Un control de acceso permite (por ejemplo gracias a una contraseña codificada) garantizar el acceso a recursos únicamente a las personas autorizadas. [http://es.kioskea.net/secu/secuintro.php3]
1.1.2 Elementos que atentan contra la seguridad Entre los elementos más significativos que atentan contra la seguridad de los sistemas están, las malintencionadas acciones del ser humano, los desastres naturales, los programas malignos, las malas instalaciones, etc, siendo las malas acciones ocasionadas por los seres humanos el elemento de riesgo más importante a tener en cuenta.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
7
CAPITULO I FUNDAMENTOS DE SEGURIDAD EN REDES DE DATOS Según Ramón Torres en su trabajo de diploma del año 2004 plantea que: los propios usuarios de la empresa es de quienes más nos tenemos que proteger puesto que quien mejor conoce de la seguridad de la empresa, en ocasiones cualquier empleado se siente descontento por cualquier razón y podría causar el mayor daño a la empresa, cortando el cable de red, el de la alimentación de corriente, le puede dar acceso al local a cualquier amigo o familia con tal de realizar cualquier acción maliciosa, ya sea robar o destruir cualquier información valiosa. Los usuarios curiosos o más bien los aprendices son otros de los objetivos a tener en cuenta, ya que pueden estar comenzando a tener un cierto conocimiento de las redes y pueden tratar de realizar alguna técnica de hacking con el objetivo de no hacer daño si no de poder comentarlo con sus amigos o sentirse orgulloso del privilegio que ha obtenido.
1.2 Seguridad Física La seguridad física como plantea textualmente Antonio Villalón Huerta (2002) consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial". Se refiere a mecanismos y controles de seguridad dentro y alrededor de donde se encuentran las computadoras implementadas para proteger el hardware y los medios de almacenamiento. Las principales amenazas que se preveen en la seguridad física son:
¾
Desastres naturales: está catalogado como toda anomalía de la naturaleza. Ejemplos: los maremotos, terremotos, incendios accidentales, tormentas, inundaciones, etc.
¾
Malas acciones ocasionadas por el hombre: Dentro de estas se pueden encontrar el robo, el fraude, disturbios, sabotajes internos y externos deliberados.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
8
CAPITULO I FUNDAMENTOS DE SEGURIDAD EN REDES DE DATOS ¾
Malas instalaciones: las instalaciones son un punto bastante importante, como los cables mal ubicados o en mal estado, la infraestructura en malas condiciones, un ejemplo es, que los cables eléctricos y de red estén muy juntos.
Evaluar y controlar permanentemente la seguridad física de la instalación es la base para comenzar a integrar la seguridad como una función primordial dentro de cualquier organismo. 1.3 Seguridad Lógica La seguridad lógica como plantea textualmente Antonio Villalón Huerta (2002) consiste en la "aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo." Son todas las medidas y procedimientos que pueden prevenir la amenaza al sistema, se refiere a la seguridad en el uso del software, la protección de los datos, procesos y aplicaciones, así como la del acceso controlado y autorizado de los usuarios a la información. Esta involucra todas las medidas de administración de usuarios para minimizar los riesgos de seguridad asociados con sus operaciones cotidianas llevadas a cabo utilizando la tecnología de información. Los principales objetivos que persigue la seguridad lógica son: ¾
Restringir el acceso a los programas y archivos.
¾
Asegurar que se estén utilizando los datos, archivos y programas correctos en el procedimiento correcto.
¾
Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro.
¾
Que la información recibida sea la misma que ha sido transmitida.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
9
CAPITULO I FUNDAMENTOS DE SEGURIDAD EN REDES DE DATOS 1.4 Principales Ataques Según se revela en un informe de amenazas del centro de seguridad de Symantec Corporation en su sitio Web, en el primer semestre del año 2007 se observó un aumento de ataques maliciosos en la red cometidos con paquetes de herramientas, destacándose la profesionalización de los delincuentes cibernéticos quienes han desarrollado tales paquetes o toolkits que se venden en la economía informal, como MPack, con los cuales pueden infectar a miles de equipos. Por ello, atribuyó a los tres principales toolkits para phishing o estafa electrónica el 42 por ciento de los ataques de este tipo durante el monitoreo que incluyó la primera mitad del año. El reporte también señala que los artículos más anunciados en servidores del mercado negro fueron las tarjetas de crédito, seguidas de las cuentas bancarias. Además revela que se detectaron 237 vulnerabilidades de navegadores de red y que el 58 por ciento de las empresas preveen una pérdida de datos al menos una vez cada cinco años. Además, señaló el incremento de ataques para el robo de información que utilizan fachadas de sitios financieros, de búsqueda o redes sociales conocidas, donde los hackers esperan a sus víctimas, asociado al aumento de daños por etapas mediante descargadores ocultos. En Cuba no se han reportado ataques de este tipo, ya que todavía no se cuenta con un auge en el comercio electrónico, solo algunos portales cubanos realizan esta
actividad,
en
el
que
se
puede
mencionar
el
sitio
http://www.citmatel.cu/linea2.php en donde se brinda información sobre el comercio electrónico. La empresa Artex Sancti Spiritus no está exenta de ser víctima de diferentes ataques de red, ya que existen brechas de seguridad que todavía no se han podido rescatar, aunque los principales ataques que se podrían destacar son:
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
10
CAPITULO I FUNDAMENTOS DE SEGURIDAD EN REDES DE DATOS Ingeniería social La ingeniería social consiste en el engaño y la manipulación que en la mayoría de los casos se lleva tras una falsa identidad con el objetivo de que las personas realicen acciones que normalmente no harían, puede ser vía telefónica, o a través de terceros, su alcance depende de la picardía del atacante y la ingenuidad de la victima. [Villalón Huerta, Antonio (2002)] Shoulder Surfing Es el ataque más relacionado con la ingenuidad de los usuarios ya que consiste en espiar a estos físicamente para lograr conseguir una contraseña, revisar en los puestos de trabajo con el fin de encontrar algún papel con los datos del usuario escritos, esta técnica es bien eficiente con los usuarios inexpertos.[ Torres Rojas, Ramón (2004)] Spoofing (Suplantación de Identidad) Existen diferentes tipos de spoofing según la tecnología a la que se refiere el usuario, como el IP spoofing (quizás el más conocido), ARP spoofing, DNS spoofing, Web spoofing o e-mail spoofing, aunque en general se puede englobar dentro de spoofing cualquier tecnología de red susceptible de sufrir suplantaciones de identidad. Por spoofing se conoce a la creación de tramas TCP/IP utilizando una dirección IP falseada; al menos la idea de este es muy sencilla: desde su equipo, un pirata simula la identidad de otra máquina de la red para conseguir acceso a recursos de un tercer sistema que ha establecido algún tipo de confianza basada en el nombre o la dirección IP del host suplantado. Y como los anillos de confianza basados en estas características tan fácilmente falsificables son aún demasiado abundantes (no se tiene más que pensar en los comandos r-, los accesos NFS, o la protección de servicios de red mediante TCP Wrapper), el spoofing sigue siendo en la actualidad un ataque no trivial, pero factible contra cualquier tipo de organización. [http://es.wikipedia.org/wiki/Spoofing]
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
11
CAPITULO I FUNDAMENTOS DE SEGURIDAD EN REDES DE DATOS Ports Scanning (Escaneo de puertos) El escaneo o monitoreo de puertos es una de las técnicas que más se emplea hoy en día para realizar un análisis del estado de una computadora, se utiliza para detectar qué servicios comunes está ofreciendo la máquina y posibles vulnerabilidades de seguridad según los puertos abiertos. También puede llegar a detectar el sistema operativo que está ejecutando la PC. Detecta si un puerto está cerrado o protegido por un cortafuego. Es usado por administradores de sistemas para analizar posibles problemas de seguridad, pero también es utilizado por usuarios malintencionados que intentan comprometer la seguridad de la máquina o la red. Existen varios programas escaneadores de puertos en Internet, entre los que se destacan el Nmap disponible tanto para Linux como Windows y SuperScan que solamente es para Windows. [Torres Rojas, Ramón (2004)] Denegación de Servicios (DOS y DDOS) Denegación de servicios simples. Este tipo de ataques se caracterizan por tener un único origen desde el cual se realiza la denegación del servicio. Ataques de denegación de servicio distribuido. En este tipo de ataques se utilizan varias fuentes coordinadas que pueden realizar un ataque progresivo, rotatorio o total. En cualquiera de los dos casos el objetivo final es realizar un ataque conjunto o coordinado entre varios equipos hacia un servidor víctima haciendo imposible cerrar la ruta de ataque, imposibilitando los servicios de este equipo y dejando como única opción desconectar el ordenador y esperar que el ataque cese. Esto es posible a través de malwares que permiten el control de las máquinas de la red a través de un atacante que ha instalado previamente en ellas, bien por su intrusión o por algún gusano. Los DoS consiguen su objetivo gracias a que agotan el ancho de banda de la víctima y sobrepasan la capacidad de procesamiento de los Routers, Switch, consiguiendo que los servicios ofrecidos por la máquina atacada no puedan ser prestados.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
12
CAPITULO I FUNDAMENTOS DE SEGURIDAD EN REDES DE DATOS Dentro de los ataques de DoS más conocidos en el mundo está el famoso Ping de la Muerte, el cual puede dejar paralizado cualquier sistema, este ataque utiliza las definiciones de la longitud máxima de paquetes de los protocolos IP, UDP, ICMP así como la capacidad de fragmentación de los datagramas IP. [Verdejo Álvarez, Gabriel (2008)] Formato del Ping de la Muerte en Windows ping -l 65510 dirección IP Sniffing (Interceptación) Los Sniffers se basan en olfatear o capturar el tráfico en tiempo real que pasa por la red, poniendo la interfaz de red donde se encuentra instalado, en modo promiscuo, capturando todas las tramas que viajan por la red a partir de los cuales se pueden obtener cualquier tipo de información, ya sean usuarios, contraseñas, correos electrónicos, conversaciones en los mensajeros instantáneos. [Torres Ramón, 2004] 1.5 Programas Malignos o Malware. El malware o software de actividades ilegales es la aplicación de código malicioso que tiene como objetivo infiltrarse o dañar un ordenador sin el consentimiento autorizado de su dueño. Existen muchísimos tipos de malware, destacándose los virus informáticos, los gusanos, los caballos de Troya, los spyware - adware y los botsnet que provienen de ciertos sitios Web y archivos infectados de virus que se descargan de conexiones P2P. El malware también buscará explotar en silencio las vulnerabilidades existentes en sistemas. 1.5.1 Virus informáticos Los virus informáticos, tan conocidos y que tantos problemas traen actualmente por su poderosa capacidad de propagación y que a veces resulta tan trabajosa su descontaminación ya que llegan a contaminar miles o millones de ordenadores en poco tiempo, tienen prioridad cuando de programas malignos se habla. Un virus
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
13
CAPITULO I FUNDAMENTOS DE SEGURIDAD EN REDES DE DATOS informático es un programa que se copia automáticamente y que tiene por objetivo alterar el funcionamiento de la computadora, sin el permiso o el conocimiento del usuario. Aunque popularmente se incluye al malware dentro de los virus, en el sentido estricto de esta ciencia los virus son programas que se multiplican y ejecutan por sí mismos. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el código de este. Los virus pueden destruir, de manera intencionada, los datos almacenados en un ordenador, aunque también existen otros más benignos, que solo se caracterizan por ser bastante molestos. Según estadísticas del sitio www.segurmatica.cu, en Cuba hasta el 29 de abril del 2008 se habían detectado 2344 programas malignos que corresponden a 410 Virus, 1292 Caballos de Troya, 594 Gusanos, 23 Jokes y 25 Exploit los que relacionamos a continuación.
1.5.2 Troyanos o Caballo de Troya Los caballos de Troya o troyanos como se les conoce comúnmente no es en sí un virus, aún cuando teóricamente pueda ser distribuido y funcionar como tal. La diferencia fundamental entre un troyano y un virus consiste en su finalidad. Para que un programa sea un "troyano" solo tiene que acceder y controlar la máquina anfitriona sin ser advertido, normalmente bajo una apariencia inocua. Al contrario que un virus, que es un huésped destructivo, el troyano no necesariamente provoca daños porque no es su objetivo, suelen ser muy difícil de eliminar ya que no hay muchas maneras de ellos. Funcionan de modo similar al caballo de Troya, ayudan al atacante a entrar al sistema infectado, haciéndose pasar como contenido genuino. En ocasiones descargan otros virus para agravar la condición del equipo. [http://es.wikipedia.org/wiki/Virus_informático]
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
14
CAPITULO I FUNDAMENTOS DE SEGURIDAD EN REDES DE DATOS 1.5.3 Spam (Correo Basura) El correo basura o Spam se le llama a los mensajes no solicitados que logran llenar nuestro buzón de correo, habitualmente son de tipo publicitarios y que hoy están tan de moda y en cantidades masivas pueden perjudicar de alguna manera al receptor, Aunque pueden ser por distintas vías, las más utilizadas son el correo electrónico, los grupos de noticias, motores de búsquedas, blogs, wikis, foros, también pueden tener como objetivo los teléfonos móviles a través de mensajes de textos. También se llama Spam a los virus sueltos en la red y páginas filtradas (casino, sorteos, premios, viajes y pornografía), se activa mediante el ingreso a páginas de comunidades o grupos o acceder a links en diversas páginas. [http://es.wikipedia.org/wiki/Spam] 1.6 Herramientas de Seguridad para Detectar Vulnerabilidades Existen muchas herramientas de seguridad, se pueden encontrar tanto para el uso ofensivo como el defensivo, las primeras se usan con el objetivo de detectar vulnerabilidades en los sistemas, para poder llevar a cabo la intrusión en el mismo, sin permiso y llevar a cabo cualquier acción después de haber tomado el control total de la computadora, estas mismas pueden ayudar si se utilizan con la mejor intención ya que proveen de información para detectar los problemas que presenta el sistema y poder corregir dicha vulnerabilidad. Entre estas se pueden mencionar de diferentes tipos como escáner de red, escáner de puertos, herramientas de robo de información, las cuales pueden ser contraseñas, nombres de usuarios, emails, herramientas de suplantación de identidad, de denegación de servicios, de búsqueda de información, monitoreo de la red e intrusión en la misma. Otras completamente defensivas, ya que son previsoras de diferentes problemas que pueden presentarse en la red y ayudan a reforzar la seguridad de estas, refiriéndose que pueden ser la contrapartida de las anteriormente mostradas en el párrafo anterior.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
15
CAPITULO I FUNDAMENTOS DE SEGURIDAD EN REDES DE DATOS Las herramientas de seguridad utilizadas están clasificadas como scanner de vulnerabilidades de red las cuales tienen como objetivo encontrar vulnerabilidades en la red como anteriormente se planteaba, de las cuales se pueden mostrar:
GFI LANguard Network Security Scanner: Es una herramienta comercial desarrollada por GFI Software LTD, empresa líder en productos de seguridad en redes de computadoras bajo plataforma Windows. GFI LANguard N.S.S. es una herramienta que permite a los administradores de red realizar rápida y fácilmente una auditoría de seguridad de red. Crea informes que pueden ser utilizados para resolver problemas de seguridad de la red. Además puede realizar la administración de actualizaciones de seguridad. Al contrario que otros escáneres de seguridad, GFI LANguard N.S.S. no creará un bombardeo de información, que es virtualmente imposible de seguir. En su lugar, ayudará a resaltar la información más importante. Además proporciona hipervínculos
a
sitios
de
seguridad
para
averiguar
más
sobre
estas
vulnerabilidades. GFI LANguard N.S.S. utilizando análisis inteligente, recoge información sobre los equipos como nombres de usuario, grupos, recursos compartidos, dispositivos USB, dispositivos inalámbricos y otra información sobre un Dominio Windows. También identifica vulnerabilidades específicas como problemas de configuración de servidores FTP, exploits en Servidores Microsoft IIS y Apache Web Server o problemas en la configuración de la política de seguridad Windows, más otros muchos potenciales problemas de seguridad. Como inconveniente se plantea que no debe estar corriendo un cortafuegos en el ordenador mientras LNSS está escaneando, esto puede bloquear funciones de LNSS. [GFI Software LTD, (2005)] Nessus Vulnerability Scanner: Potente escáner de vulnerabilidades de seguridad, gratuito, liberado bajo la licencia GNU (General Public License), fácil de usar y a su vez muy potente, es una de las herramientas de evaluación de seguridad de mayor preferencia entre los especialistas de seguridad y hackers, llegando a ser la de mayor renombre. Es un escáner de seguridad remoto para Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
16
CAPITULO I FUNDAMENTOS DE SEGURIDAD EN REDES DE DATOS Linux, BSD, Solaris y otros Unix, y también para Windows y es gratis como antes se mencionaba hasta la versión 3.0.0. Está basado en plug-in(s), tiene una interfaz basada en GTK, y realiza más de 1200 pruebas de seguridad remotas. Permite generar reportes en HTML, XML, LaTeX, y texto ASCII; también sugiere soluciones para los problemas de seguridad. [http://insecure.org/tools/tools-es.html] Nessus consiste en nessusd, el daemon Nessus, que realiza el escaneo en el sistema objetivo, y nessus, el cliente (basado en consola o gráfico) que muestra el avance y reporte de los escaneos, los cuales por simplicidad se pueden instalar en una misma maquina. Nessus comienza escaneando los puertos con NMAP o con su propio escaneador de puertos para buscar puertos abiertos y después intentar varios exploits para atacarlo. Las pruebas de vulnerabilidad, están disponibles como una larga lista de plugins, son escritos en NASL (Lenguaje de Scripting de Ataque Nessus por sus siglas en inglés), en operación normal, un lenguaje scripting
optimizado
para
interacciones
personalizadas
en
redes.
[http://es.wikipedia.org/wiki/Nessus] Algunas de las pruebas de vulnerabilidades de Nessus pueden causar que los servicios o sistemas operativos se corrompan y caigan. El usuario puede evitar esto desactivando "unsafe test" (pruebas no seguras) antes de escanear. Cuenta con un conjunto único de características, incluyendo el descubrimiento automático de SSL, servicios de reconocimiento por lo que se captura, por ejemplo, un servidor FTP corriendo en un puerto diferente al 21 y su propio lenguaje de scripting.[http://www.nessus.org/documentation] Estas dos herramientas están ubicadas dentro de las 10 primeras en sitio Web http://insecure.org/tools/tools-es.html donde se realizó una encuesta de las diferentes herramientas de seguridad, mayormente defensivas, aunque estas no dejan de realizar acciones ofensivas también.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
17
CAPITULO I FUNDAMENTOS DE SEGURIDAD EN REDES DE DATOS 1.7 Mecanismo de Seguridad en Windows 2003 Server En el sistema operativo Windows 2003 Server existen mecanismos de seguridad avanzados para contribuir a la integridad y al buen funcionamiento de dichos sistemas, estos mecanismos son la parte más visible del sistema de seguridad y se
convierten
en
herramientas
imprescindibles
para
asegurar
cualquier
computadora bajo este sistema operativo. 1.7.1 Asistente de configuración de seguridad en Windows 2003 Server En los productos Windows 2003 Server con SP1 se estableció un nuevo mecanismo de seguridad, el Asistente de Configuración de Seguridad (SCW) por sus siglas en inglés cuyo propósito es proporcionar un proceso flexible paso a paso para reducir la superficie de ataque de los servidores que ejecutan Windows Server 2003 con SP1. El SCW es realmente una colección de herramientas que se combina con una base de datos de reglas XML. Su objetivo es ayudar a los administradores a determinar de una forma rápida y precisa la funcionalidad mínima necesaria para las funciones de servidores específicos. Con SCW, los administradores pueden escribir, probar, solucionar problemas e implementar directivas de seguridad que deshabiliten toda la funcionalidad secundaria. También proporciona la capacidad de revertir directivas de seguridad. SCW ofrece compatibilidad nativa para la administración de directivas de seguridad en servidores individuales, así como en grupos de servidores que comparten funcionalidad relacionada. SCW es una herramienta completa que puede ayudar a la realización de las tareas siguientes: ¾
Determinar qué servicios deben estar activos, qué servicios deben ejecutarse cuando proceda y qué servicios se pueden deshabilitar.
¾
Administrar el filtrado de puertos de red en combinación con el Firewall de Windows.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
18
CAPITULO I FUNDAMENTOS DE SEGURIDAD EN REDES DE DATOS ¾
Controlar qué extensiones Web de IIS se permiten para los servidores Web.
¾
Reducir la exposición de protocolo a los protocolos basados en el bloque de mensajes de servidor (SMB), NetBIOS, el sistema común de archivos de Internet (CIFS) y el Protocolo ligero de acceso a directorios (LDAP).
¾
Crear útiles directivas de auditoria que capturen los eventos de interés. [http://www.microsoft.com/spain/technet/security/prodtech/windowsserver2003/w2003hg/s3s gch02.mspx]
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
19
CAPITULO II PROPUESTA DE CONFIGURACION DE SEGURIDAD
CAPÍTULO 2: Propuesta de Configuración de Seguridad 2.1 Características de la Intranet de la Empresa La empresa Artex Sancti Spiritus cuenta con una intranet con alrededor de 33 computadoras distribuidas en distintas áreas, con un total de 35 usuarios. Como aspecto general se puede decir que la empresa cuenta con una intranet tipo 10BASE – T ó 100BASE – T con topología en estrella con cable UTP Categoría 5E donde 23 computadoras están conectadas al Switch Planet Networking & Comunication FGSW - 2403RS y 10 que se conectan a la intranet por conexión telefónica de acceso remoto (RAS), ver Anexo1
Desde el punto de vista de la infraestructura de comunicaciones cuenta con una conexión a Internet mediante una Frame – Relay a 128Kbps con un CIR de 32 Kbps, a través de un Router Allied Telesync AR – 410 por donde se transporta todo el tráfico que entra y sale de la red.
Desde el punto de vista de la plataforma informática se cuenta con tres servidores con similar hardware y corriendo bajo sistema operativo Microsoft Windows Server 2003 Enterprise Edition con Service Pack 1 instalado, de los cuales uno es controlador del dominio scss.artex.cu. Como totalidad el resto de las 30 computadoras utilizan sistema operativo Windows XP Professional SP2.
2.1.1 Servicios brindados en la Intranet Tal como se hace mención en el epígrafe anterior, todo el funcionamiento de la intranet está soportada bajo los tres servidores con sistema operativo Windows 2003 Server con SP1 en los cuales se divide el funcionamiento de la forma que en la tabla 1 se muestra.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
20
CAPITULO II PROPUESTA DE CONFIGURACION DE SEGURIDAD Nombre
Servicio
Hardware
1. Controlador de Dominio 2. Active Directory
Placa: ASUS P4S533-MX
3. DNS
Micro: P4 2.66 GHz
4. DHCP
Servidor1
RAM: 1 GB
5. WINS 6. MS Exchange 2003
HDD: 80 GB
7. WWW (IIS)
1. Aplicaciones 2. Base de Datos (MS SQL Server 2000)
Servidor2
3. FTP
Placa: ASUS P4S533-MX Micro: P4 2.66 GHz RAM: 1 GB HDD: 80 GB
4. RAS
Placa: ASUS P4S533-MX Micro: P4 2.66 GHz
1. Proxy
Servidor3
RAM: 1 GB
2. Firewall
HDD: 80 GB
Tabla 1: Características de Los Servidores
Las demás computadoras presentan similitud en las características de hardware, estas se han ido remodelando con el transcurso del tiempo y la situación económica
de
la
empresa,
en
estos
momentos
todas
cuentan
con
microprocesadores con velocidad igual o superior a 1.7 GHz, memoria de 256 MB de RAM o superior y discos duros de 40 GB en adelante, características recomendadas para instalar Windows XP Professional SP2.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
21
CAPITULO II PROPUESTA DE CONFIGURACION DE SEGURIDAD 2.2 Vulnerabilidades de los servicios brindados.
En la tabla1 se muestran los servicios que prestan los servidores de la intranet, en la cual se puede observar que solamente se cuenta con un solo controlador de dominio. Si este servidor se ve comprometido por cualquier razón, la intranet se ve afectada grandemente, se paralizarían las comunicaciones, lo que conllevaría a un mal funcionamiento del trabajo empresarial, por ejemplo, el proceso contable que se realiza diariamente, con el objetivo de emitir reportes para las entidades rectoras, en donde se realizan análisis de las ventas, para poder elaborar estrategias comerciales, y otras funciones.
El servidor1, donde recae el peso fundamental de las comunicaciones como antes se ha planteado, no presenta instalado ningún sistema de alta disponibilidad o sistema RAID [GIGA 2, 2000]. Se argumenta que en todo servidor controlador de dominio se debe establecer sistemas RAID ya que por cualquier problema físico del disco duro principal, se puede habilitar el arranque por el disco espejo y continuar el funcionamiento de la intranet normalmente, hasta que los especialistas dictaminen lo ocurrido y determinen la solución.
En el Anexo 1 se observa que los tres servidores están conectados al mismo Switch al igual que las demás estaciones de trabajo, esto trae consigo que cualquier usuario desde su estación de trabajo utilizando alguna herramienta para encontrar vulnerabilidades de seguridad pueda comprometer cualquiera de los servidores, pudiendo realizar técnicas de sniffing, escaneo de puertos, ataques de negación de servicio, como se expone en el Capítulo 1, pudiendo capturar información valiosa sobre la red, ejemplo, nombres de usuarios, contraseñas, correos electrónicos, información privada, servicios brindados.
Como se plantea en el epígrafe 2.1, toda la comunicación de la intranet con el exterior se realiza mediante el Router Allied Telesync AR410. Este Router presenta características como la de cortafuego, SNMP, DHCP, entre otras.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
22
CAPITULO II PROPUESTA DE CONFIGURACION DE SEGURIDAD Al realizarse una comprobación de seguridad en conjunto con el administrador de la red se encontró una vulnerabilidad, se pudo determinar que desde cualquier computadora cliente se podía entrar a configurar dicho Router, realizando Telnet a la dirección IP del mismo. El administrador plantea que en muchas ocasiones se realiza sin intenciones maliciosas. Esto puede traer consigo que cualquier usuario mal intencionado, pueda instalar un keyloggers en su computadora, y poder tomar información privilegiada como usuario y
contraseña del manager del Router, también con un sniffers en
cualquier computadora de la red, se puede capturar el tráfico hacia el Router ya que la información por Telnet viaja en texto plano y no presenta seguridad alguna. En fin tomar control total de las comunicaciones de la empresa.
La intranet cuenta con un Proxy Caché y Firewall integrado mediante el Microsoft ISA Server 2004 donde se pudo determinar que no cuenta con dos interfaces de red, para la separación de la red externa de la red interna, no pudiéndose analizar y monitorear todo el tráfico que pasa por la red, además en ocasiones se han realizado trabajos conjuntos con otros administradores de red de otras redes WAN, los que han tenido acceso total a nuestra red privada desde el exterior, esto puede traer consigo que desde cualquier subred externa, utilizando los privilegios obtenidos, pueda realizar algún acto malicioso, y se pueda realizar algún ataque descrito en el capítulo1.
La intranet no posee un sistema de administración y gestión centralizada de actualizaciones automáticas de seguridad de los sistemas operativos Windows y demás aplicaciones de Microsoft instaladas en la empresa.
La empresa utiliza como Agente de Transferencia de Correo el Microsoft Exchange 2003
en el servidor1 para trabajar íntegramente con el Active
Directory, el cual hasta el momento de esta investigación, no contaba con la actualización de los Services Packs 1 y 2, la mayor vulnerabilidad encontrada es que cualquier usuario de la red podía enviar mensajes hacia los dominios que
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
23
CAPITULO II PROPUESTA DE CONFIGURACION DE SEGURIDAD quisiera, ya que no existe una herramienta para lograr el control de los correos electrónicos que entran o salen de la intranet, teniéndose establecido reglas de acceso para los correos entrantes y salientes para grupos de usuarios, así como diariamente hay un gran contenido de correos spam en los buzones de los usuarios. Otra vulnerabilidad de este sistema es que todos los correos de los usuarios se almacenan en el servidor, si este servidor presenta problemas de hardware o software, todos los correos se pierden. Realizando un estudio de los boletines de seguridad emitidos en algunos de los principales sitios de seguridad como Hispasec, Symantec, Mcafee, CERT, VSAntivirus, el centro de seguridad de la UNAM y el centro de seguridad de Microsoft, en el cual se destacan un número de vulnerabilidades con respecto a los principales servicios de red como son Active Directory, DNS, DHCP, WINS, que brindan los sistemas bajo la plataforma NT, en los cuales se plantea que estos servicios se pueden ver afectados por ejecución de código remoto, Spoofing, ataques de negación de servicios, de los cuales la empresa no se encuentra ajena puesto que no se realizan las actualizaciones de seguridad emitidas por estas entidades, se puede observar que todavía los servidores no se han actualizado con el Service Pack 2 para Windows 2003 Server que estuvo disponible desde marzo del 2007, en el cual se corrigieron muchas de las vulnerabilidades de este sistema operativo.
2.3 Vulnerabilidades encontradas con Herramientas de Seguridad.
Según los reportes mostrados en el Anexo 2 y 3 brindados por los scanners de vulnerabilidades de red mencionados en el epígrafe 1.6, se destaca que aparecen una gran cantidad de vulnerabilidades en la intranet como: muchos puertos abiertos innecesarios en los servidores, ejemplo, programas que no se usan y todavía están instalados, la posibilidad de ejecución de código remoto y obtener elevación de privilegios, la falta de parches en el servidor de correo el cual permite a usuarios remotos enviar correos, problemas con el cliente de correo Outlook
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
24
CAPITULO II PROPUESTA DE CONFIGURACION DE SEGURIDAD Web Access para leer el correo vía Web, así como cuentas de usuarios que nunca se han loqueado, no han sido eliminadas. Además se detectan otras vulnerabilidades repartidas en diferentes niveles como críticas, medias y bajas, de las cuales se pueden mencionar las siguientes:
Falla de actualizaciones de etapas de seguridad en los sistemas operativos. Se carece de un gran número de actualizaciones de seguridad en el sistema operativo ya sea en los clientes como en los servidores, esto compromete bastante los sistemas ya que con frecuencia se emiten boletines de seguridad por parte de Microsoft, señalando huecos encontrados en sus sistemas, proponiendo también la actualización de los mismo para corregir dichos errores, esto puede traer consigo que cualquier usuario con capacidad y con ganas de hacer daño, pueda estudiar alguna de estas vulnerabilidades y conseguir algún exploits y pueda realizar su objetivo.
Puertos Abiertos o Puertas Traseras Existen gran cantidad de puertos abiertos, utilizados por servicios innecesarios corriendo en los servidores y en los clientes, software que no se usan ya porque se han ido cambiando por otros para un mejor funcionamiento y no se han deshabilitado esos servicios, dejando una brecha de seguridad. Muchos de los virus o gusanos hacen uso de muchos puertos para su explotación, los puertos abiertos son invitaciones para invasiones, con buenas herramientas de auditoría de servidores, pueden ayudar a la empresa a identificar cuáles son sus brechas en los sistemas.
Contraseñas débiles Muchas veces, las contraseñas de un empleado se pueden descubrir fácilmente, al mezclar cosas comunes tales como nombre y apellido, fecha de cumpleaños, nombre de la esposa, hijo, la novia, los mismos caracteres que el nombre de usuario, contraseñas en blanco, etc.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
25
CAPITULO II PROPUESTA DE CONFIGURACION DE SEGURIDAD Esta empresa no está exenta de estos males, pues se pudo determinar que no existe política rigurosa con la creación de las contraseñas, la mayoría de los usuarios no tienen educación para lidiar con su código de acceso a la red, presentando más problemas en los accesos conmutados pues se encuentran lejos y la mayoría de estas entidades tienen la contraseña guardada, esto trae consigo que por cualquier negligencia de los administradores de las instalaciones, cualquier intruso pueda conseguir el código de acceso a nuestra red y posteriormente desde otro lugar pueda conectar y comenzar a explorar la red buscando alguna vulnerabilidad para conseguir lo que quiere.
Resumen de la seguridad de los servicios brindados. Después de haber realizado un estudio de las características y seguridad de los servicios brindados por la intranet de la empresa Artex Sancti Spiritus se puede plantear que la seguridad en los mismos no es aceptable, encontrándose muchas brechas de seguridad, huecos o vulnerabilidades de diferentes índole tanto de hardware, software, políticas de seguridad, malas configuraciones. Estas vulnerabilidades pueden ser aprovechadas para realizar alguna acción con el objetivo de hacer daño a la empresa, buscando beneficios personales, y dañar la imagen de la sucursal Sancti Spiritus. Es por eso que, se propone realizar algunas acciones que modifiquen la situación actual de seguridad que presenta la intranet, para poder brindar servicios más estables y seguros y así mejorar el trabajo del administrador de red a la hora de enfrentar problemas de seguridad; los cuales se pueden evitar a tiempo sin afectar las prestaciones y el funcionamiento de la red.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
26
CAPITULO II PROPUESTA DE CONFIGURACION DE SEGURIDAD 2.4 Propuesta de configuración de seguridad.
La empresa Artex Sancti Spiritus clasifica en los términos de pequeña empresa, pero no por estas razones los administradores de red deben sentirse confiados en cuanto a la seguridad que presenta la intranet, puesto que toda red de computadoras aunque se configure debidamente siempre está expuesta a posibles riesgos. La seguridad interna de la red es, muchas veces, menospreciada por sus administradores. Muy a menudo, dicha seguridad incluso no existe, permitiendo a un usuario acceder fácilmente al equipo de otro usuario utilizando debilidades bien conocidas, relaciones de confianza y opciones predeterminadas. La mayor parte de estos ataques necesitan poca o ninguna habilidad, poniendo la integridad de la red en riesgo. La mayoría de los empleados no necesitan y no deben tener acceso al resto de equipos, funciones administrativas, dispositivos de red, etc. Sin embargo, debido a la cantidad de flexibilidad necesaria para la función normal, las redes internas no pueden permitirse una seguridad máxima. Por otro lado, sin ninguna seguridad, los usuarios internos pueden ser una amenaza para muchas redes corporativas.
2.4.1 Asegurando la red con NAT (Traducción de Direcciones de Red) Después de haber estudiado las características del Servidor3 el cual actúa como Proxy-Caché y Cortafuego, se propone el uso de NAT en este servidor con dos interfaces de red pues posee las características en cuanto a hardware y software para su implementación. Una de las medidas más importantes para una buena configuración de seguridad en el cortafuego, es separar la red externa de la red privada, puesto que en la mayoría de los casos estas redes son de uso exclusivo interno, requiriendo que una mínima cantidad de terminales tengan acceso a redes externas. Además, el rápido agotamiento de las direcciones IP públicas hace que adquirirlas sea costoso, razón por la cuál las redes privadas utilizan un direccionamiento basado en direcciones IP reservadas, que son inválidas para su uso fuera de la red interna.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
27
CAPITULO II PROPUESTA DE CONFIGURACION DE SEGURIDAD También la topología de red fuera de un dominio local puede cambiar de muchas maneras, los clientes pueden cambiar proveedores, los backbones (conexiones de Internet con gran ancho de banda) de las compañías pueden ser reorganizadas o los proveedores pueden unirse o separarse. Siempre que la topología externa cambie, la asignación de dirección para nodos en el dominio local puede también cambiar para reflejar los cambios externos. Este tipo de cambios deben ser implementados en el Router de acceso a Internet y de esta manera, pueden ser ocultados a los usuarios de la red interna de la organización. Además en este servidor es en donde se va a controlar y monitorear todo el tráfico de información intercambiado con redes externas desde la intranet, permitiendo el análisis de esta información por medio de herramientas de seguridad a los administradores de red y llegar a lograr un buen control sobre la seguridad, en el Anexo 4 se realiza la propuesta del uso de NAT en la intranet Artex Sancti Spiritus. Características de NAT La traducción de direcciones de red, en inglés: Network Address Translation, coloca las subredes IP internas detrás de una o un pequeño grupo de direcciones IP públicas asignadas por el ISP, enmascarando todas las peticiones a una fuente en vez de a muchas, por lo tanto generalmente permite solo conexiones salientes y bloquea cualquier tráfico entrante a no ser que esté configurado específicamente de otra manera. Ventajas de NAT ¾
Se puede configurar de forma transparente a las máquinas en una LAN.
¾
Protección de muchas máquinas y servicios detrás de una o más direcciones IP, simplificando las tareas administrativas.
¾
La restricción del acceso de usuarios hacia y desde la LAN se puede configurar abriendo y cerrando puertos en el cortafuegos/puerta de enlace NAT.
Desventajas de NAT ¾
No puede prevenir las actividades maliciosas una vez que los usuarios se conectan a un servicio fuera del cortafuego.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
28
CAPITULO II PROPUESTA DE CONFIGURACION DE SEGURIDAD 2.4.2 Asegurando el Servidor ISA Server. Como se planta en el epígrafe anterior se propone configurar el servidor3 el cual actúa como Proxy Caché y Cortafuego bajo el Microsoft ISA Server 2004 con dos interfaces de redes, con el objetivo de separar las redes interna y externa, por lo que el primer paso para asegurar el servidor ISA Server 2004, es garantizar que el ordenador y sistema operativo sean tan seguros como sea posible. Asegurar el ordenador incluye los siguientes componentes: ¾
Garantizar la seguridad en las interfaces de redes.
¾
Garantizar que sólo los servicios que requiere el sistema estén habilitados.
¾
Velar porque las actualizaciones de seguridad se apliquen.
Asegurando las Interfaces de red: De forma predeterminada, las interfaces de red en Windows Server 2003 están configuradas para facilitar la conexión de otros equipos en la red al servidor. En un servidor ISA, tanto la interfaz conectada a Internet
como la interfaz conectada a la red interna solo deben tener los
parámetros necesarios configurados. Asegurando la interfaz de red externa: La interfaz externa del ISA Server es probable que se atribuya directamente a la Internet, donde pueden estar expuestos a un ataque desde cualquier lugar a través de Internet u otras redes externas. Con el fin de garantizar la interfaz externa en el ISA se realizaran las siguientes acciones: ¾
Deshabilitar Compartir archivos e impresoras para redes Microsoft y Cliente para redes Microsoft: Permite a las máquina compartir recursos como Server Message Block y Common/ Internet File System (SMB/CIFS). El Cliente para redes Microsoft permite a la máquina acceder a SMB y CIFS. Estas opciones pueden permitir NetBIOS y Direct Hosting Ports, tanto de las cuales se utilizan para el uso compartido de archivos convencionales y de acceso a redes de Microsoft.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
29
CAPITULO II PROPUESTA DE CONFIGURACION DE SEGURIDAD ¾
Deshabilitar NetBIOS sobre TCP/IP: NetBIOS sobre TCP/IP es necesario si el ordenador tiene que ser configurado como un equipo con WINS cliente o las necesidades de acceso a recursos NetBIOS. El equipo servidor ISA no debe enviar o recibir paquetes NetBIOS a Internet.
¾
Desactivar la opción de búsqueda en LMHOSTS: El archivo LMHOSTS se utiliza para permitir nombre de búsquedas NetBIOS. El equipo servidor ISA no debe conectarse a cualquier ordenador en la Red mediante NetBIOS. Si desactiva buscar LMHOSTS, tenga en cuenta que esta opción está desactivada para todas las interfaces de red en el equipo servidor ISA.
¾
Deshabilitar el arranque automático de registro de nombres de DNS: De forma predeterminada, Windows Server 2003
intenta registrar sus
direcciones IP con un servidor DNS. El servidor ISA no debe registrar la dirección IP para su interfaz externa con los servidores DNS en Internet o con Servidores DNS de la red. Asegurando la interfaz de red interna: Asegurar el interior de interfaz de red, debe garantizar además el buen funcionamiento de la Intranet puesto que esta interfaz es por donde se van a conectar los clientes de la red interna, ya que en muchos casos, puede exigir más funcionalidad que la interfaz externa, de manera que debe asegurarse de sólo desactivar los componentes que no son necesarios. ¾
Habilitar compartir archivos e impresoras para redes Microsoft si se quiere que los clientes de la red interna puedan acceder al cortafuego a través del software cliente. Si los ficheros de instalación del cliente se almacenan en otro ordenador, o no se utiliza el software cliente para la administración se puede desactivar.
¾
Habilitar
Cliente
para
redes
Microsoft
si
se
quiere
acceder
a
recursos en la red interna o autenticar a los recursos internos. ¾
Deshabilitar NetBIOS sobre TCP/IP si no tiene ningún legado de ordenadores cliente o NetBIOS de aplicaciones basadas en la red que necesitan tener acceso al equipo servidor ISA.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
30
CAPITULO II PROPUESTA DE CONFIGURACION DE SEGURIDAD ¾
Habilitar resolución automática de nombres DNS a fin de que la dirección IP del ISA Server esté registrada en el DNS. Si no han permitido que las actualizaciones automáticas en la zona DNS, desactive esta opción y configurar manualmente el registro de acogida en el DNS.
Gestión
de
los
servicios
del
sistema
en
el
servidor
ISA
Server
Un segundo paso para conseguir el equipo que ejecuta ISA Server es deshabilitar todos los servicios que no son necesarios en la computadora. Varios son los servicios básicos necesarios para ISA Server para funcionar correctamente, y servicios adicionales se pueden activar dependiendo de la funcionalidad requerida. Todos los demás servicios deben ser deshabilitados.
2.4.3 Asegurando el acceso al Router. Como medio de protección se debe asegurar la conexión al Router, en la que se encontró después de pruebas realizadas, que cualquier usuario podía entrar al mismo desde su computadora, si se lograba capturar los datos del manager. Como propuesta de seguridad para poder eliminar esto, y analizando las características del Router Allied Tellesync AR410 el cual presenta la posibilidad de realizar filtrado de IP, además otras muchas opciones, con esto se configura el dispositivo para que solo desde un punto sea accesible a la administración y control del mismo. Con esto se obliga al administrador a realizar cualquier tarea, desde su estación de trabajo o desde el cortafuego, aumentando la seguridad del mismo.
# # IP configuration # enable ip add ip fil=1 so=172.23.1.3 ent=1 sm=255.255.255.255 ac=include add ip fil=1 so=172.23.1.1 ent=2 sm=255.255.255.255 ac=include add ip fil=1 so=172.23.1.2 ent=3 sm=255.255.255.255 ac=include
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
31
CAPITULO II PROPUESTA DE CONFIGURACION DE SEGURIDAD 2.4.4 Asegurando el Controlador de Dominio. Los controladores de dominio en la red constituyen el eje del servicio de Active Directory. Contienen toda la información de las cuentas de usuario, sin la que los usuarios no pueden iniciar sesión en la red para obtener acceso a los recursos que necesitan para realizar su trabajo. Debido a esta información incluida en los controladores de dominio y el papel fundamental que desempeñan en todos los entornos, se convierten en objetivos lógicos de ataques malintencionados. Por este motivo, se debe colocar los controladores de dominio en la ubicación más segura posible, se deben mantener al día con las últimas actualizaciones de seguridad y es recomendable deshabilitar servicios innecesarios para evitar que queden expuestos a gusanos, virus y ataques malintencionados. Propuesta para Asegurar los Controladores de Dominio Para asegurar las pérdidas por los fallos de hardware en el controlador de dominio se propone realizar RAID1 (Arreglo Redundante de Discos), o Discos Espejos, por ser la mejor opción para la tolerancia a fallos y por las ventajas económicas que presenta ya que solo se necesitan dos discos duros, de esta manera existe respaldo ante cualquier falla en el disco duro principal, el cual puede extraerse y el Servidor seguir funcionando con el otro disco y no se interrumpe ningún servicio por más del tiempo de arranque del sistema. Otra medida para asegurar el controlador de dominio es establecer el Servidor2 como segundo controlador de dominio, de manera que se pueda balancear la carga de los servicios y aumentar el rendimiento de la intranet, además también bajo cualquier eventualidad en la red, este puede tomar el rol de master y continuar el funcionamiento de la intranet sin ningún problema.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
32
CAPITULO II PROPUESTA DE CONFIGURACION DE SEGURIDAD Como parte de afianzar la seguridad en
los controladores de dominio de la
intranet se propone utilizar la directiva de grupo para la función de servidor de controladores de dominio, La directiva de línea de base de controladores de dominio (DSBP) está vinculada a la unidad organizativa (UO) Controladores de dominio y tiene prioridad sobre la directiva predeterminada de controladores de dominio. La configuración de directiva incluida en la DCBP fortalecerá la seguridad general de todos los controladores de dominio de cualquier entorno. Para esto se propone usar las plantillas de seguridad de controladores de dominio que proporciona Microsoft que están diseñadas exclusivamente para tratar las necesidades de seguridad. En la tabla 3 se muestran los archivos .inf para controladores de dominio; Cliente heredado (LC), Cliente de empresa (EC) y Seguridad especializada: Funcionalidad limitada (SSLF). Para la configuración de los controladores de dominio de la intranet se propone seleccionar EC-Domain Controller.inf, plantilla de seguridad para el entorno Cliente de empresa. Cuya descarga esta disponible en el sitio de Microsoft http://www.microsoft.com/downloads/details.aspx?FamilyId=8A2643C1-06854D89B655-521EA6C7B4DB&displaylang=en, con el objetivo de crear la directiva de línea de base de controladores de dominio.
Cliente heredado
Cliente de empresa
LC-Domain Controller.inf
EC-Domain Controller.inf
Seguridad especializada: Funcionalidad limitada SSLF-Domain Controller.inf
Tabla 3 Plantillas de seguridad para controladores de dominio
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
33
CAPITULO II PROPUESTA DE CONFIGURACION DE SEGURIDAD Asistente de Configuración de Seguridad SCW El Asistente para la configuración de seguridad (SCW) es una herramienta que reduce la superficie de ataque de miembros de la familia Microsoft Windows Server 2003 con Service Pack 1. Este asistente determina la funcionalidad mínima requerida para las funciones de un servidor y deshabilita las funcionalidades no requeridas. El Asistente para configuración de seguridad hace las siguientes tareas: ¾
Deshabilita los servicios innecesarios.
¾
Bloquea los puertos no utilizados.
¾
Permite más restricciones de dirección o seguridad para los puertos que se dejan abiertos.
¾
Prohíbe las extensiones Web de IIS que no son necesarias.
¾
Reduce la exposición de protocolo al bloque de mensajes del servidor (SMB), LanMan y LDAP (Protocolo ligero de acceso a directorios).
Directiva de línea de base de controladores de dominio. Los especialistas de Microsoft recomiendan usar un equipo configurado como controlador de dominio para crear la directiva de línea de base de controladores de dominio. También se puede utilizar un controlador de dominio existente o crear un equipo de referencia y utilizar la herramienta DCPROMO para crear un controlador de dominio para el equipo. Sin embargo, según se expresa en el sitio la mayoría de las organizaciones no quieren agregar un controlador de dominio a su entorno de producción porque puede violar su directiva de seguridad. Como en la intranet se ha propuesto utilizar dos controladores de dominio, hay que asegurarse de que no se aplique ningún parámetro con SCW ni se modifique su configuración, seguidamente se muestra cómo crear una nueva directiva.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
34
CAPITULO II PROPUESTA DE CONFIGURACION DE SEGURIDAD
1.
Instalar el componente del Asistente para configuración de seguridad en el equipo mediante Panel de control, Agregar o quitar programas, Agregar o quitar componentes de Windows.
2.
Iniciar la interfaz gráfica de usuario de SCW, y seleccionar Crear directiva nueva e ir al equipo de referencia.
3.
Comprobar que las funciones de servidor detectadas sean adecuadas para su entorno. No quitar la función de servidor de archivos, ya que es necesaria para que los controladores de dominio funcionen correctamente.
4.
Comprobar que las características de cliente detectadas sean adecuadas para su entorno.
5.
Comprobar que las opciones administrativas detectadas sean adecuadas para su entorno. Si el entorno contiene controladores de dominio en múltiples sitios, asegúrese de que está seleccionada la opción Replicación de Active Directory basada en correo.
6.
Comprobar que se han detectado todos los servicios adicionales requeridos por su línea de base, como agentes de copia de seguridad o software antivirus.
7.
Decidir cómo tratar los servicios no especificados en su entorno. Para una mayor seguridad, definir esta configuración de directiva como Deshabilitada. Se debe probar esta configuración antes de implementarla en la red de producción porque puede provocar problemas si los servidores de producción ejecutan servicios adicionales que no están duplicados en su equipo de referencia.
8.
Comprobar que la casilla de verificación Omitir esta sección está desactivada en la sección "Seguridad de red" y, a continuación, hacer clic en Siguiente.
Los
puertos
y
las
aplicaciones
apropiados
identificados
anteriormente se configuran como excepciones para el Firewall de Windows. Asegurarse de que la opción Puertos para aplicaciones RPC del sistema está seleccionada.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
35
CAPITULO II PROPUESTA DE CONFIGURACION DE SEGURIDAD 9.
En la sección "Configuración del Registro", hacer clic en la casilla de verificación Omitir esta sección y, a continuación, hacer clic en Siguiente. Esta configuración de la directiva se importa desde el archivo INF suministrado.
10. En la sección "Directiva de auditoria", hacer clic en la casilla de verificación Omitir esta sección y, a continuación, hacer clic en Siguiente. Esta configuración de la directiva se importa desde el archivo INF suministrado. 11. Incluya la plantilla de seguridad adecuada (por ejemplo, EC-Domain Controller.inf). 12. Guarde la directiva con un nombre apropiado (por ejemplo, Domain Controller.xml). De esta forma se podrá limitar cualquier problema en la seguridad de uno o varios controladores de dominio que por su importancia podría afectar enormemente a los equipos cliente, servidores y aplicaciones que dependan de estos mismos DC para la autenticación, de la directiva de grupo y de un directorio LDPA (Protocolo ligero de acceso a directorios) central. 2.4.5 Propuesta de Implementación del SurfControl Email Filter. SurfControl Email Filter es una herramienta comercial que está desarrollada por SurfControl PLC, el cual basa su funcionamiento en reglas que administran y controla totalmente el flujo de correo electrónico en toda una organización, posee diccionarios con contenido inapropiado y restringido, brinda una fuerte aplicación de las políticas de seguridad, cuenta con gran cantidad de reportes para realizar el análisis de la actividad y las brechas. Además ofrece una solución total de seguridad de contenido al combinar filtros para Web, correo electrónico (incluyendo anti-spam y anti-virus) y mensajería instantánea, ayuda a detener el contenido inapropiado y
que se flexibilice la
seguridad del contenido Empresarial por medio de pornografía, Spam, Virus, Amenazas Cruzadas, Phishing, Spyware. Otras posibilidades más específicas que brinda están:
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
36
CAPITULO II PROPUESTA DE CONFIGURACION DE SEGURIDAD Mejora la productividad ¾
Minimizando el correo electrónico personal por usuario.
¾
Reduciendo el envío de archivos enormes (MP3, GIF).
¾
Enfocando los usuarios y los recursos en el trabajo.
¾
Disminuyendo la cantidad de spam por usuario.
Reduce los virus y otros códigos maliciosos. ¾
Reforzando la solución actual de antivirus.
¾
Prohíbe la propagación de virus por e-mail.
¾
Filtro de correo dañino antes de la actualización del AV.
¾
Mejor monitoreo y respuestas de conductas arriesgadas.
Expande el Filtro de contenido Filtro de URL ¾
Se toman URL’s de la base de datos de categorías de Web Filter para controlar el envío de links a sitios inapropiados.
Escalabilidad y seguridad. ¾
Soporta 1500 conexiones entrantes y salientes.
¾
Detecta y bloquea los ataques de denegación de servicios.
Monitoreo en tiempo real ¾
Monitoreo y análisis de la actividad y comportamiento de los correos, en cualquier momento.
¾
Permite identificar y corregir los cuellos de botella en la red y el servidor.
¾
Código de colores para retroalimentación inmediata.
En la tabla 4 se observa los requerimientos de Hardware y Software para SurfControl Email Filter, proporcionados por el Productor de este Software.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
37
CAPITULO II PROPUESTA DE CONFIGURACION DE SEGURIDAD Intel Pentium III 600 MHZ o Mayor 512 MBytes de RAM Mínimo Memoria 1 Gbyte de RAM Recomendado Windows 2000 Server con SP4 Sistema Windows 2000 Advanced Server con SP4 Operativo Windows 2003 Server con SP1 200 Mbytes Mínimo Espacio en 500 Mbytes Recomendado Disco Súper VGA (800 x 600) o mayor resolución del adaptador de Monitor video y del monitor Explorador Web Internet Explorer 5 o superior TCP/IP instalado y configurado. Red Sistema de correo SMPT o MTA instalado Email Componentes de Microsoft Data Access MDAC 2.7 con SP2 o MDAC superior instalado Microsoft SQL Server 2000. Si esto no está instalado en su sistema, SurfControl Email Filter puede instalar MSDE 2000 SP3. Base de Datos SQL Server está recomendado para los sitios más grandes, ya que maneja grandes volúmenes de datos con más facilidad. Tabla 4 Requerimientos para Instalar SurfControl Email Filter Procesador
Como parte de asegurar y limitar el envío de correos electrónicos a diferentes usuarios, además de eliminar los correos no deseados, se propone instalar SurfControl Email Filter en el Servidor1 donde está instalado el servidor Exchange 2003, además se propone para cubrir las vulnerabilidades encontradas en el servidor Exchange por las herramientas de seguridad, llevar a cabo la instalación de los Service Pack 1 y 2 para Microsoft Exchange 2003, donde se corrigen un gran número de vulnerabilidades que este presenta.
2.4.6 Propuesta de Implementación del WSUS en la Intranet Windows Server Update Services (WSUS) es una herramienta de revisión y actualización que ofrece un modo sencillo, eficaz y rápido de mantener el sistema protegido. WSUS representa el primer paso hacia una infraestructura central de administración de actualizaciones y distribución de software en Windows el cual se divide en un componente de servidor y un componente de cliente. WSUS permite la actualización de los sistemas operativos Windows y de varios productos Microsoft como Windows XP Professional, Windows 2000, Windows Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
38
CAPITULO II PROPUESTA DE CONFIGURACION DE SEGURIDAD Server 2003, Office XP, Office 2003, SQL Server™ 2000, MSDE 2000 y Exchange 2003. Con el tiempo, según el sitio plantea que se agregará compatibilidad con otros productos de Microsoft, sin necesidad de actualizar ni implementar de nuevo Windows Server Update Services.
Requisitos de Software para WSUS ¾
Servicios de Microsoft Internet Information Server (IIS) 6.0
¾
Microsoft .NET Framework 1.1 Service Pack 1 para Windows Server 2003.
¾
Servicio de transferencia inteligente en segundo plano (BITS) 2.0.
Requisitos y recomendaciones para el disco. ¾
La partición del sistema y la partición en la que se instala WSUS deben tener formato del sistema de archivos NTFS.
¾
Se requiere un espacio libre mínimo de 1 GB para la partición del sistema.
¾
Se requiere, como mínimo, un espacio libre de 6 GB para el volumen donde WSUS almacena contenido; se recomiendan 30 GB.
¾
Se requieren, como mínimo, 2 GB de espacio libre en el volumen donde el programa de instalación de WSUS instala Windows SQL Server 2000 Desktop Engine (WMSDE).
Requisitos de Actualizaciones automáticas. Las actualizaciones automáticas son el componente de cliente de WSUS. No tiene que tener otros requisitos de hardware aparte de estar conectado a la red. Puede utilizar Actualizaciones automáticas con WSUS en los equipos que ejecuten alguno de los siguientes sistemas operativos: ¾
Microsoft Windows 2000 Professional con Service Pack 3 (SP3) o Service Pack 4 (SP4), Windows 2000 Server con SP3 o SP4, o Windows 2000 Advanced Server con SP3 o SP4.
¾
Microsoft Windows XP Professional, con o sin Service Pack 1 o Service Pack 2.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
39
CAPITULO II PROPUESTA DE CONFIGURACION DE SEGURIDAD ¾
Microsoft Windows Server 2003 Standard Edition, Windows Server 2003 Enterprise Edition, Windows Server 2003 Datacenter Edition o Windows Server 2003 Web Edition.
Implementación del WSUS en la Intranet Como parte de garantizar las actualizaciones de seguridad y de otros componentes de los sistemas operativos en la intranet, se propone la instalación del WSUS en el servidor2, ya que este presenta todas las características necesarias para su implementación, para esto se configura que tome las actualizaciones de un servidor WSUS que se encuentra instalado en la Gerencia de Informática y Comunicaciones en Ciudad de La Habana en el horario de la noche para que no afecte el poco ancho de banda que tiene la empresa, y posteriormente los clientes puedan actualizar sus sistemas a través de la red LAN.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
40
CAPITULO III GUIA PARA LA IMPLEMENTACION DE LA PROPUESTA
Capítulo 3: Guía para la implementación de la propuesta en la intranet. 3.1 Guía para configurar NAT en el servidor ISA Server 2004. Como se muestra en la tabla 1 el Servidor3 realiza las funciones de Proxy y Cortafuegos cuenta con todas las características necesarias para establecer NAT, seguidamente se muestran los pasos.
1. Adicionar una Tarjeta de Red compatible con Windows 2003 Server en
el
servidor3 en donde está instalado el MS ISA Server.
2. Configurar los servicios de las dos interfaces de redes. Como se muestra en la figura 3.1.1, hay 2 interfaces de red, para su mejor entendimiento llamaremos Intranet a la interfaz interna conectada a la red privada e Internet a la interfaz externa conectada al Router que va a la red publica.
Figura 3.1.1 – Conexiones de red Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
41
CAPITULO III GUIA PARA LA IMPLEMENTACION DE LA PROPUESTA 3. Deshabilitar los servicios en los dos adaptadores de red. Adaptador Externo: Se deshabilitan los servicios innecesarios,
solamente se
selecciona el Internet Protocol (TCP/IP), y después se configuran los parámetros correspondiente para la conexión como dirección IP, mascara de subred, puerta de enlace predeterminada y DNS preferido como se muestra en la figura 2 y 3. Figura 3.1.2 Propiedades de Internet.
Figura 3.1.3 Asignación de Parámetros de conexión hacia el Router.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
42
CAPITULO III GUIA PARA LA IMPLEMENTACION DE LA PROPUESTA Adaptador Interno: Para este adaptador de red se mantienen la mayoría de los servicios, esto garantiza el buen funcionamiento de la intranet., puesto que esta tarjeta exige más funcionalidad que la interfaz externa.
Figura 3.1.4 Propiedades de Intranet.
Figura 3.1.5 – Asignación de Parámetros de conexión para la intranet.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
43
CAPITULO III GUIA PARA LA IMPLEMENTACION DE LA PROPUESTA 4. Deshabilitar los servicios innecesarios en el sistema operativo,
evitando la
instalación de aplicaciones que puedan entorpecer el funcionamiento del mismo y debilitar su seguridad y la de la red. En la figura 3.1.6 se muestran los servicios requeridos y en la figura 3.1.7 los servicios opcionales para ISA Server 2004.
Figura 3.1.6 – Servicios Requeridos para ISA Server Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
44
CAPITULO III GUIA PARA LA IMPLEMENTACION DE LA PROPUESTA
3.1.7 – Servicios Opcionales para ISA Server 2004
3.2 Guía para Asegurar los Controladores de Dominio. Como se propuso en el capítulo 2, después de tener instalados y configurados dos controladores de dominio, no basta para asegurar su funcionamiento, esta guía le ayudara al mejoramiento de la seguridad de los mismos mediante el Asistente de Configuración de Seguridad. Para instalar el Asistente para configuración de seguridad 1. Abrir Agregar o quitar programas. 2. Hacer clic en Agregar o quitar componentes de Windows. 3. Activar la casilla de verificación Asistente para configuración de seguridad, hacer clic en Siguiente y posteriormente en Finalizar.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
45
CAPITULO III GUIA PARA LA IMPLEMENTACION DE LA PROPUESTA Iniciar el Asistente para configuración de seguridad 1. Abrir Herramientas administrativas. 2. Hacer doble clic en Asistente para configuración de seguridad. 3. El Asistente para configuración de seguridad (SCW) se usa para crear una directiva y configurar o revertir directivas en un servidor. El archivo ejecutable del asistente es SCW.exe. Para iniciarlo desde el símbolo del sistema, escribir SCW.
Figura 3.2.1 – Asistente de configuración de seguridad
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
46
CAPITULO III GUIA PARA LA IMPLEMENTACION DE LA PROPUESTA 4. Si es la primera vez que se ejecuta debe seleccionarse la primera opción "Crear una nueva directiva de seguridad" para crear una directiva, que luego se podrá aplicar al otro servidor.
Figura 3.2.2 – Opciones de la Directiva. 5. En la ventana siguiente debe se seleccionarse el nombre del servidor que se va a realizar la directiva de base de seguridad. 6. En la figura 3.2.3 se muestran las funciones instaladas en el servidor, estas funciones se pueden modificar según los servicios que se quieran brindar. 7. En la figura 3.2.4 se muestran las características de clientes que este servidor puede usar. 8. Figura 3.2.5 podemos observar las formas de administrar el servidor, y las que se pueden escoger. 9. Figura 3.2.6 resumen de los servicios que no reconoce como del sistema operativo. 10. Figura 3.2.7 se muestran los servicios que se han habilitado, se tienen dos opciones, deshabilitarlos todos (un poco agresiva, pero puede ser necesaria) y que no arranquen o dejarlos como están
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
47
CAPITULO III GUIA PARA LA IMPLEMENTACION DE LA PROPUESTA
Figura 3.2.3 – Funciones Instaladas
Figura 3.2.4 – Características de Cliente
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
48
CAPITULO III GUIA PARA LA IMPLEMENTACION DE LA PROPUESTA
Figura 3.2.5 – Opciones de Administración
Figura 3.2.6 – Resumen de Servicios adicionales
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
49
CAPITULO III GUIA PARA LA IMPLEMENTACION DE LA PROPUESTA
Figura 3.2.7 – Servicios Cambiados 11. Posteriormente se acceden a las opciones de configuración de la red mediante el firewall interno de Windows 2003 Server, configuración de auditorias y configuración del registro, estas opciones se pueden configurar o se pueden omitir. 12. Figura 3.2.8 se observa como el asistente detecta los puertos que están en uso y por defecto los abrirá. Se debe comprobar que realmente se requieren abiertos o no. 13. Figura 3.2.9 se guarda la directiva de seguridad, además se puede cargar una plantilla de seguridad, se puede ver la directiva creada antes de aplicar. 14. Figura 3.2.10 se muestra una plantilla cargada, las plantillas de seguridad que aparezcan primero en la lista tendrán mayor prioridad pero la configuración del asistente tiene la prioridad mas alta. 15. Figura 3.2.11 se guarda la directiva de seguridad y permite aplicar la directiva en el momento o mas tarde, si se aplica la directiva en el momento, hay
que
reiniciar los servidores para que pueda cargar la nueva configuración y los servicios y aplicaciones puedan funcionar correctamente.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
50
CAPITULO III GUIA PARA LA IMPLEMENTACION DE LA PROPUESTA
Figura 3.2.8 – Listado de Puertos del Sistema
Figura 3.2.9 – Destino de la directiva
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
51
CAPITULO III GUIA PARA LA IMPLEMENTACION DE LA PROPUESTA
Figura 3.2.10 – Plantilla de Seguridad Cargada
Figura 3.2.11 – Plantilla de Seguridad Cargada
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
52
CAPITULO III GUIA PARA LA IMPLEMENTACION DE LA PROPUESTA 3.3 Guía para configurar SurfControl Email Filter. SurfControl Email Filter posee gran cantidad de posibilidades pero esta guía se centrará en darle solución a las vulnerabilidades encontradas. Ejecutar el fichero setup.exe para comenzar la instalación. 1. Hacer clic en el botón Next en la pantalla de bienvenida. 2. En la ventana tipo de instalación escoger la opción Email Filter Server, como se muestra en la figura 3.3.1. 3. Esta opción depende de lo que se vaya a instalar de instalarse en el mismo servidor, se escogerá las dos opciones E-mail Receiver y E-mail Filtering Engine. ¾
El receptor intercepta mensajes SMTP para que puedan ser chequeados por el servicio de regla.
¾
El E-mail Filtering Engine controla el Servicio de Reglas y de Envío.
Figura 3.3.1 - Selección del Server
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
53
CAPITULO III GUIA PARA LA IMPLEMENTACION DE LA PROPUESTA 4. Configuración de la Base de datos. E-mail Filter utiliza una base de dato relacional para almacenar las reglas, el sistema de configuración y los diccionarios.
5. El Setup del administrador de Servidores. Todos los servicios de SurfControl utilizan de manera predeterminada el puerto 80, si existe un servidor Web corriendo en la maquina donde este se va a instalar, el administrador de servidor necesita que se especifique otro puerto no standard. SurfControl recomienda que utilice un puerto diferente al de por defecto como por ejemplo el 8080.
6. Configuración WebDAV. Especificar como SurfControl E-mail Filter debe autenticarse en el sitio por defecto del Internet Information Server.
Figura 3.3.2 – Configuración de WebDAV Poner el Puerto por defecto que el servicio de IIS utiliza (80). Pero si necesita entrar otro puerto diferente debe de depender de su configuración de sistema. Entrar la contraseña para acceder al sitio Web de IIS por defecto.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
54
CAPITULO III GUIA PARA LA IMPLEMENTACION DE LA PROPUESTA 7. Seleccione el Puerto por defecto del servidor SMTP Virtual. Poner el Puerto 25 del servidor SMTP virtual, aunque si se necesita introducir otro debe de depender de su configuración de sistema. Configuración
Figura 3.3.3 – Ventana Principal del SurfControl Email Filter En la figura 3.3.3 es la ventana donde se lleva a cabo la configuración del Software. Se puede monitorear la actividad y comportamiento del servicio de correo, identificar y corregir los cuellos de botella en la red y el servidor. Cuenta con un código de colores para la retroalimentación inmediata. Posee un sistema de acceso rápido a varias funciones a través de íconos en el panel de control mediante los cuales se puede parar e iniciar el servicio, acceder a su configuración, limpiar los paneles, esconder y habilitar los mismos, reglas del administrador, sistemas de reportes y tareas programadas. En la figura 3.3.4 se muestra la ventana donde se configura el servidor, en ella se pueden ver los parámetros más importantes.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
55
CAPITULO III GUIA PARA LA IMPLEMENTACION DE LA PROPUESTA
Figura 3.3.4 - Configuración del Servidor En la figura 3.3.5 se muestra la ventana que nos ayuda a controlar las reglas para filtrar el correo electrónico. Se debe aclarar que esta es una de las posibles soluciones y no la única. La empresa Artex Sancti Spiritus existen tres tipos básicos de alcance de correo electrónico. •
Nacional.
Permite enviar a *.CU
•
Empresarial.
Permite enviar a *.artex.cu
•
Internacional
No se filtra
De acuerdo a la ayuda del SurfControl Email Filter a cada mensaje se le aplican las reglas en orden, desde la primera hacia abajo. En la figura 3.3.5 se puede
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
56
CAPITULO III GUIA PARA LA IMPLEMENTACION DE LA PROPUESTA observar la distribución general de las reglas creadas. Las reglas predeterminadas que trae el filtro, quedan por encima, no se habilitan. El orden empleado es de lo general a lo particular, quiere decir que a medida que se desciende en las reglas, se vuelven más restrictivas.
Figura 3.3.5 – Panel de Reglas del SurfControl Email Filter
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
57
CAPITULO III GUIA PARA LA IMPLEMENTACION DE LA PROPUESTA
Figura 3.3.6 – Formulario para escoger los destinatarios o buzones Las reglas de correo se realizan mediante formularios que están compuestos por determinadas condiciones, que si se cumplen, la regla se aplica. Ejemplo: En las figuras 3.3.6, 3.3.7 y 3.3.8 se muestra la regla de filtrado nacional. Esta regla se compone de un objeto From User donde se incluye el grupo de usuarios con alcance nacional (grupo de seguridad definido en el Directorio), un objeto To User donde se especifica el dominio *.cu y una Acción Permitir el mensaje. Para filtrar los mensajes enviados por usuarios de alcance nacional que no cumplen con el alcance, se establece otro objeto To User con el mismo dominio, pero con Lógica Inversa, y se inserta a la derecha del primero. Eso genera el bloque otherwise if que aparece a la derecha. Se complementa con una acción de Notificar al remitente y se completa con una acción de Aislar el mensaje en una cola definida al efecto. De esa forma el mensaje sale si cumple con el dominio de destino, y si no cumple, se pone en otra cola para revisar. Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
58
CAPITULO III GUIA PARA LA IMPLEMENTACION DE LA PROPUESTA
Figura 3.3.7 – Destinatario de recepción o envío
3.3.8 – Acción a tomar si se cumple la regla Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
59
CAPITULO III GUIA PARA LA IMPLEMENTACION DE LA PROPUESTA 3.4 Guía para Instalar el WSUS en la Intranet. 1. Hacer doble clic en el archivo del instalador, WSUSSetup.exe. 2. Después de la ventana de bienvenida, hacer clic en Next. 3. En la página Selección del modo de instalación, escoger la opción Instalación completa incluyendo consola de administración, si solamente se va a realizar la administración, se escoge la segunda, en este caso elegimos la primera. 4. En la página Contrato de licencia, leer los términos del contrato de licencia con atención, aceptar los términos del Contrato de licencia y después hacer clic en Next. 5. Seleccionar
la
casilla
de
verificación
Almacenar
actualizaciones
localmente, figura 3.4.1, para que las actualizaciones se almacenen en el servidor WSUS y seleccionar una ubicación en el sistema de archivos para almacenar actualizaciones. Si no almacena las actualizaciones localmente, los equipos cliente se conectarán a Microsoft Update para obtener actualizaciones aprobadas.
Figura 3.4.1 – Localizar donde se guardaran las actualizaciones. Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
60
CAPITULO III GUIA PARA LA IMPLEMENTACION DE LA PROPUESTA 6. En la siguiente ventana se escoge el tipo de base de datos que se instalará, se recomienda que se deje la predeterminada, a no ser que se desee seleccionar una base existente en el servidor o en un servidor remoto. 7. En la ventana Selección del Sitio Web, escoger que tipo de sitio Web se desea. Seleccionamos el sitio Web de IIS predeterminado que corre en el puerto 80.
Figura 3.4.2 –Selección del tipo de Sitio Web para la Administración 8. La página final del Asistente para la instalación le dirá si la instalación de WSUS 3.0 se completó correctamente. Después de hacer clic en Finalizar, el Asistente para la configuración se iniciará.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
61
CAPITULO III GUIA PARA LA IMPLEMENTACION DE LA PROPUESTA Iniciar el asistente de configuración del Servidor WSUS 3.0 1. Ventana de bienvenida, hacer clic en Next. Un servidor de WSUS puede replicar de otros WSUS para ahorrar ancho de banda o directamente de Microsoft. En este caso se configurará un servidor réplica del servidor WSUS que se encuentra en la Casa Matriz de la empresa, para que de esta forma solo se aprueben las actualizaciones en ese servidor y para el resto de los servidores réplicas, sincronicen esas aprobaciones, reduciendo así el trabajo de administración y ahorrar el ancho de banda. 2. En la figura 3.4.3 puede sincronizar el servidor desde Microsoft Update, o escoger la sincronización desde otro servidor WSUS, en este caso se selecciona la segunda, se especifica el nombre de servidor y el puerto para comunicarse con el servidor upstream, y como es réplica, entonces marcar en This is a replica of the upstream Server. 3. En la ventana siguiente se especifica el servidor Proxy para sincronizar y si se va a utilizar las credenciales de autenticación para conectarse al servidor Proxy. (Figura 3.4.4). 4. En la ventana siguiente se comprueban la conectividad de la configuración hecha anteriormente. 5. En la Figura 3.4.5 se escogen los productos que se van a actualizar. 6. En la Figura 3.4.6 se escoge el tipo de actualizaciones. 7. En la Figura 3.4.7 se programa el proceso de actualización, este brinda la opción, de forma manual o programada y de esta forma ya el servidor está listo para actualizar.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
62
CAPITULO III GUIA PARA LA IMPLEMENTACION DE LA PROPUESTA
Figura 3.4.3 – Para seleccionar desde donde se actualiza el servidor WSUS
Figura 3.4.4 –Selección Especificar el Proxy
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
63
CAPITULO III GUIA PARA LA IMPLEMENTACION DE LA PROPUESTA
Figura 3.4.5 – Productos de Microsoft.
Figura 3.4.6 – Tipo de actualizaciones. Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
64
CAPITULO III GUIA PARA LA IMPLEMENTACION DE LA PROPUESTA
Figura 3.4.7 – Sincronización de la hora.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
65
CONCLUSIONES
Conclusiones
¾
La tesis colabora con una necesidad evidente de mejorar la configuración de la seguridad en la Intranet de la empresa Artex Sancti Spiritus.
¾
La empresa Artex Sancti Spiritus cuenta con la infraestructura tecnológica que garantiza la implementación de una propuesta de configuración de seguridad.
¾
La implementación de la propuesta configuración de seguridad mejora considerablemente el funcionamiento, la integridad y la confiabilidad de la Intranet de la empresa Artex Sancti Spiritus.
¾
En el desarrollo del proceso investigativo se pusieron en evidencia las alternativas que se dan en el contexto empresarial cubano que posibilitan la extensión de la universidad hacia las empresas, facilitando la utilización de las Tecnologías de la Información y el Conocimiento (TIC) en la seguridad informática.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
66
RECOMENDACIONES
Recomendaciones ¾
Proponer que se aplique la propuesta de configuración de seguridad en la empresa Artex Sancti Spiritus y se realice su validación.
¾
Realizar un análisis periódico de las vulnerabilidades de los servicios ofrecidos a partir de los sitios oficiales donde se publican estas informaciones.
¾
Continuar profundizando en la arista de la investigación sobre el proceder metodológico para estudiar las diferentes herramientas de seguridad de manera que se contribuya a garantizar la mayor confiabilidad en la Intranet de las empresas.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
67
BIBLIOGRAFIA
Bibliografía ¾
Aguiluz, B. (2005). Microsoft Windows Server Update Services Operations Guide. Documento electrónico.
¾
Aneiro, L. O. (2001). Elementos de Arquitectura y Seguridad Informática. Ciudad Habana, Pueblo y Educación.
¾
Antelo, R. (2005). Traductor de dirección de red (NAT). Documento electrónico
en:
http://www.monografias.com/trabajos20/traductor-
nat/traductor-nat.shtml?monosearch. ¾
Arámbula, J. (2006). Seguridad en redes de computadoras. Documento electrónico
en:
http://www.monografias.com/trabajos30/seguridad-
redes/seguridad-redes.shtml?monosearch ¾
Ardita, J. C. (2004). Del Penetration Test a la realidad. Documento electrónico en: http://www.criptored.upm.es/guiateoria/gt_m241a.htm
¾
Berenguela, A. A.; Cortes, J. P. (2006). Metodología de Medición de Vulnerabilidades en Redes de Datos de Organizaciones. Trabajo seminario para optar al Título de Ingeniero en Conectividad y Redes, Universidad Tecnológica de Chile, Santiago, Chile.
¾
Chappell, L. A. (2000). Advanced Network Analysis Techniques. California, Podbooks.com.
¾
Chellis, J.; Robichaux, P.; Sheltz, M. (2003). Windows Server 2003 Network Infrastructure Implementation, Management, and Maintenance, SYBEX Inc.
¾
Dillard, K.; Maldonado, J.; Warrender, B. (2003). Windows Server 2003 Security Guide, Patterns & Practices.
¾
Dolores, M.; Ignacio, P. (2002). Plan de Seguridad Informática. Trabajo Final para optar al Título de Ingeniero en Sistemas, Universidad Católica de Córdoba, Argentina.
¾
Elhajj, T. (2005). Guía paso a paso para empezar a trabajar con Microsoft Windows Server Update Services. Documento electrónico
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
68
BIBLIOGRAFIA ¾
Elorreaga, D. R. (2003). Firewall y Seguridad en Internet. Documento electrónico
en:
http://www.monografias.com/trabajos3/firewalls/firewalls.shtml?monosearch
¾
Fuentes,
R.
(2002)
Intranet.
Documento
electrónico
en:
http://www.monografias.com/trabajos12/intrants/intrants.shtml?monosearc h ¾
Garfinkel, S.; Spafford, G. (2000). Seguridad Practica en Unix e Internet, O’Reilly & Mc Graw Hill.
¾
GFI, Software Ltd. (2005). GFI LANguard Network Security Scanner 6. Documento
electrónico
en:
http://www.gfi.com/es/lannetscan/lanscan6manual_es.pdf ¾
Gómez, R. (2005). Seguridad en Redes LAN. Documento electrónico en: http://webdia.cem.itesm.mx/ac/rogomez
¾
Gómez, R. (2006). Ingeniería Inversa vs Piratería. Documento electrónico en: http://webdia.cem.itesm.mx/ac/rogomez
¾
Gómez, R. (2005). Reforzando la Seguridad informática desde dos frentes: las aplicaciones y los procedimientos dentro de las aplicaciones. Documento electrónico en:
¾
http://webdia.cem.itesm.mx/ac/rogomez
Goncalves, M. (2002). Manual de Firewalls. México DF, McGRAW-HILL INTERAMERICANA EDITORES, S.A. de C.V.
¾
Herlitz, H. W. (2005). Transversabilidad en NAT / Firewall. Trabajo Final para optar al Título de Ingeniero de Ejecución de Informática, Universidad Católica de Temuco, Temuco.
¾
Herzog, P. (2003). Manual de la Metodología Abierta de Testeo de Seguridad.
Documento
electrónico
en:
http://www.isecom.info/mirror/OSSTMM.es.2.1.pdf ¾
Hyden, M. (1999). Aprendiendo Redes en 24 Horas. México, Prentice Hall Hispanoamerica, S.A.
¾
Limón, F. (2000). Sistemas Distribuidos de Denegación de Servicio. Documento electrónico en: http://fi.upm.es/~flimon.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
69
BIBLIOGRAFIA ¾
Microsoft Corporation (2008). Amenazas y contramedidas, Capítulo 2: Directivas
de
nivel
de
dominio.
Documento
electrónico
en:
http://www.microsoft.com/spain/technet/security/topics/serversecurity/tcg/tc gch02n.mspx ¾
_________________________. CÓMO PARA: Configura el interfaz externo en un equipo servidor ISA de forma segura. Documento electrónico en: http://support.microsoft.com/?scid=kb%3Bes%3B310220&x=13&y=9
¾
_________________________. Diseño de un servidor de seguridad perimetral.
Documento
electrónico
en:
http://www.microsoft.com/spain/technet/recursos/articulos/secmod156.msp x ¾
_________________________. seguridad
de
Active
Grupos
Directory.
y
cuentas
Documento
administrativas
de
electrónico
en:
http://www.microsoft.com/spain/empresas/seguridad/articulos/sec_ad_adm in_groups.mspx#EIF ¾
_________________________. Guía de seguridad de Windows Server 2003. Capítulo 5: Directiva de línea de base de controladores de dominio, http://www.microsoft.com/spain/technet/security/prodtech/windowsserver2 003/w2003hg/s3sgch05.mspx
¾
_________________________. Guía de Seguridad de Windows Server 2003, Capítulo 4: Directiva de línea de base de servidores miembro Documento
electrónico
en:
http://www.microsoft.com/spain/technet/security/prodtech/windowsserver2 003/w2003hg/s3sgch04.mspx ¾
_________________________. Guía detallada de aplicación de directivas de contraseñas
seguras.
Documento
electrónico
en:
http://www.microsoft.com/spain/technet/recursos/articulos/strngpw.mspx ¾
_________________________. Introducción al servicio y requisitos del puerto de red para el sistema Windows Server. Documento electrónico en: http://support.microsoft.com/kb/832017
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
70
BIBLIOGRAFIA ¾
_________________________. Seguridad de los controladores de dominio de
Windows
Server
2003.
Documento
electrónico
en:
http://www.microsoft.com/bolivia/pymes/issues/sgc/articles/sec_win2003_s erv_dc.mspx#EX ¾
Morales, I. (2007). Propuesta de Configuración de Seguridad para un Servidor sobre Linux. Trabajo de Diploma para optar al Título de Ingeniero en Telecomunicaciones y Electrónica, Universidad Central "Martha Abreu" de las Villas, Santa Clara, Cuba.
¾
Pitsenbarger,
T.
(2002).
Guide
to
the
Secure
Configuration
and
Administration of Microsoft ISA Server 2000. National Security Agency ¾
Racciatti, H. M. (2005). Metodologías de Testeo de la Seguridad. Documento electrónico en: http://www.hernanracciatti.com.ar/articles/HPP25_Metodologias.pdf
¾
Reimer, S.; Orin, T. (2005). Implementing Microsoft Internet Security and Aceleration Server 2004. Redmond, Washington, Microsoft Press.
¾
Rodríguez, Y. (2007). Propuesta de Herramientas de Seguridad para la Intranet de la Empresa Geominera del Centro. Trabajo de Diploma para optar al Título de Ingeniero en Telecomunicaciones y Electrónica, Universidad Central "Martha Abreu" de las Villas, Santa Clara, Cuba.
¾
Scambray, J.; McClure, S; Kurts, G. (2001). Hackers 2. Secretos y Soluciones para la Seguridad de Redes. Madrid, McGRAW-HILL INTERAMERICANA DE ESPAÑA, S. A. U.
¾
Siles, R. (2002). Análisis de Seguridad de la Familia de Protocolos TCP/IP y sus servicios Asociados. Documento electrónico en:
¾
Spencer, K. L.; Goncalves, M. (2000). Guía Avanzada Microsoft Windows 2000 Server Administración y Control. Madrid, Prentice Hall.
¾
SurfControl. (2005). SurfControl E-mail Filter 5.0 for SMTP Administrator's Guide. Documento electrónico en: http://www.surfcontrol.com
¾
SurfControl. (2005). SurfControl E-mail Filter 5.0 for SMTP Getting Started Guide. Documento electrónico en: http://www.surfcontrol.com
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
71
BIBLIOGRAFIA ¾
Torres, R. (2004). Seguridad en Redes Mediana y Pequeñas Empresa. Trabajo
de
Diploma
para
optar
al
Título
de
Ingeniero
en
Telecomunicaciones y Electrónica, Universidad Central "Martha Abreu" de las Villas, Santa Clara, Cuba. ¾
Villalón, A. (2002). Seguridad en Unix y Redes. Valencia, Universidad Politécnica de Valencia.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
72
GLOSARIO
Glosario ARP
Resolución del Protocolo de Direcciones (Address Resolution Protocol)
ASCII
Código Estándar Americano de Intercambio de Información (American Standard Code for Information Interchange)
BSD
Software de Distribuón de Berkeley (Berkeley Software Distribution)
DHCP
Protocolo de Configuración Dinámica de Host (Dinamic Host Configuration Protocol)
DNS
Sistema de Nombres de Dominio (Domain Name System)
FTP
Protocolo de Transferencia de Ficheros (File Transfer Protocol)
GTK
Conjunto de rutinas para GIMP (GIMP Toolkit)
HTML
Lenguaje de Marcado de Hipertexto (HyperText Markup Language)
HTTP
Protocolo de Transferencia de Texto (HyperText Transfer Protocol)
ICMP
Protocolo de Mensajes de Control de Internet (Internet Control Message Protocol)
IP
Protocolo de Internet (Internet Protocol)
ISP
Proveedor de Servicios de Internet (Internet Service Provider)
LAN
Red de Area Local (Local Area Network)
LATEX
Lenguaje de marcado para documentos
LMHOSTS
(LAN Manager Hosts)
NetBIOS Sistema Básico de Entrada y Salida de Red (Network Basic Input/Output System) NFS
Sistema de Archivos de Red (Network Files System)
RPC
Llamadas de Procesamiento Remoto (Remote Procedure Call)
SMTP
Protocolo de Transferencia de Mensajes Simple (Simple Mail Transfer Protocol)
SNMP
Protocolo Simple de Gestión de Redes (Simple Network Management Protocol)
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
GLOSARIO SQL
Lenguaje de Programación Estructurado (Structured Query Language)
TCP/IP
Protocolo de Control de Transmisión/Protocolo de Internet (Transmission Control Protocol/Internet Protocol)
UDP
Protocolo de Datagramas de Usuarios (User Datagram Protocol)
WAN
Red de Area Extensa (Wide Area Network)
WINS
Servicio de Nombre es Internet de Windows (Windows Internet Naming Service)
XML
Lenguaje de Marcas Extensible (Extensible Markup Language)
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
ANEXOS
Anexos Anexo 1: Configuración de la intranet Artex Sancti Spiritus.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
ANEXOS Anexo 2: Vulnerabilidades encontradas por GFI LANguard Network Security Scanner.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
ANEXOS Anexo 3: Vulnerabilidades encontradas por Nessus Vulnerability Scanner.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.
ANEXOS Anexo 4: Configuración propuesta para la intranet Artex Sancti Spiritus.
Propuesta de Configuración de Seguridad para la Intranet Artex Sancti Spiritus.