Seguridad de Su Red en 5 Puntos

Vaya al Contenido

Seguridad de Su Red en 5 Puntos

MiTecnicoPR
Publicado de Mi Tecnico en Ciberseguridad · 1 Marzo 2018
Tags: SeguridadRedWiFiNetworkstudiaTuTiendaEnLineaTuTiendaEnLinea#TuTiendaEnLinea
Red y Seguridad en 5 Puntos
Comience por aquí y no fallará
Por Carmelo Allende
01 Mar 2018

Toda red de computadora comparte partes esenciales sea a escala residencial, oficina, empresa o industria. Presentamos a continuación 5 puntos esenciales y la protección que se debe aplicar a cada uno.

1-Infraestructura
Todos los materiales usados para transportar la información manejada es parte de la infraestructura.  Cables, conectores, enchufes y toda tornillería y soporte usado para instalar los mismos.

Esto aplica a cables de data y fibra óptica.
Cableado, Conectores  y Puntos de Conexión.

Puerto Ethernet de pared
Es el puerto más común para lograr una conexión física a una red de computadoras.  Estos suelen estar localizados en la pared de cada oficina y en los equipos usados para la distribución de la data a lo largo de la red.  Su nomenclatura es RJ45 y todo equipo que se enchefe ahí, ya es parte de su red.

Bloqueador de puerto RJ45
Conozca donde están los puntos de conexión a su red, después de todo, conexión en ellos conlleva unirse a su red y desde allí se podría perpetrar el siniestro contra la misma.

Si es necesario, puede bloquear los puertos o enchufes ethernet que no estén en uso. Son económicos y fáciles de instalar.  Puede conseguirlos en MiTécnicoPR como Tranca Puertos RJ45.  Esto lo llevan los receptáculos RJ45 de pared y los que no están en uso en su router/switch si éstos están en un área accesible al público.  Incluyen la pinza especial que sirve como llave para desenchufarlo del puerto.

2-Equipo Activo:
Todos los elementos requeridos en la topología de su red para amplificar, distribuir y dirigir la información a través del cableado, son equipo activo.  Incluye también cualquier punto de acceso inalámbrico.



Hub, Switch, Routers, Firewalls y Puntos de Acceso
Estos equipos tienen funciones diversas entre las que están el discriminar/detectar/bloquear/aceptar o rechazar equipos extraños conectados a un puerto Ethernet. Lo hacen bien pero desgraciadamente es el equipo que todos se dejan poner en la casa pero no lo administran... y un 'hacker' de los malos, lo sabe.
En pocas palabras, cada uno de los elementos activos pudiera ser detectable y administrable.  Estos aceptan, rechazan o legitimizan conexiones a la red.

Todo equipo activo que provee facilidades de administración, usa el esquema de credenciales (nombre de usuario y contraseña) para bloquear el acceso de personas no autorizadas a sus parámetros de configuración.
El mayor error es dejar estos equipos instalados con las credenciales de fábrica (“default”) ya que las mismas son de conocimiento público.  Siempre exija al instalador las creenciales de todo componente de su red.

En adición a cambiar las credenciales de fábrica, se deben utilizar todos los elementos incluídos en estos aparatos para forzar la seguridad en la red pues constituyen la segunda línea de defensa (la primera está constituída por los obstáculos físicos para alcanzar la red. Bloqueador de puertos, equipo activo en cuartos cerrados) y los mismos pueden detectar y rechazar aplicaciones, conexiones y uso/abuso no autorizado de recursos.

Todo esquema de protección instalado en un equipo físico (“firmware”) es intrínsecamente mas rápido y eficaz que los que se implantan en programación (“software”) en el servidor mientras que los que son en “software” son mas flexibles y fáciles de actualizar.
Ruteadores Inalámbricos
Toda señal irradiada constituye un reto de seguridad pues no se puede evitar que sea interceptada. Afortunadamente,  existen los mecanismos que permiten encriptar la información transmitida para que quien la intercepte no pueda hacer nada con ella.
Todo Ruteador inalámbrico debe ser compatible con los protocolos de conexión encriptada.  Este mecanismo debe ser usado en todo momento. Luego de establecida la conexión, toda transmisión continuará encriptada.

Un error común es el de no establecer credenciales para la conexión inalábrica, permitiéndo que cualquiera desde las afueras pueda conectarse a su red en forma inalámbrica.  ¿Ha visto algún auto extraño estacionado por ratos largos cerca de su negocio o residencia? – Sepa que cualquier impertinencia en-línea que pueda ser identificada como proveniente de su red es responsabilidad de su empresa o de usted como persona si es una cuenta residencial, por lo tanto, procure que nadie extraño pueda conectarse a su WiFi.

Servidores y Clientes
Servidores son los que almacenan información y programas, ejecutan políticas de seguridad y ejecutan programas mientras que los equipos cliente acceden y visualizan el contenido y los servicios provistos por los servidores.

Los Clientes están en manos de los usuarios y son, por ende, el punto mas vulnerable de la red, en especial si se opera bajo la modalidad de BYOD (“Bring Your Own Device”) en el que se aceptan aparatos traídos por cada uno de los empleados y asociados a la red, ya que estos traerán consigo  aplicaciones y condiciones que no han sido probadas en el ecosistema seguro de la red.  De ahí viene la importancia de redes virtuales dentro de una misma red.

A lo anterior se le debe añadir la inhabilitación de puertos físicos como los USB y los puertos lógicos usados por los programas y servicios para la extracción de información.
3-Administración
Es la implantación y puesta en práctica de las técnicas usadas para proteger todos los elementos de la red.

Identificación y Control de Recursos
Cada recurso debe ser  reconocido, identificado y autenticado antes de reportar su disponibilidad.  Esto se logra con firmas y certificados digitales, CRC ó “Cyclic Redundancy Check”.
Con esto se verifica la autenticidad de las fuentes de información  y se detectan reemplazos plantados no autorizados.  Esto incluye su proveedor de internet, cámaras de seguridad y equipo de control de acceso. En una red residencial pequeña esto no es crítico, pero conforme la red crece y se esparse por diferentes cuartos, pisos y edificios, es impertinente no hacerlo.

Identificación de Aparatos y Asignación de Recursos
Cada aparato en la red debe ser reconocido, identificado y autentificado antes de permitir el acceso a recursos en el servidor.  Aparatos conectados que no sean parte de la red se les debe negar acceso a los mismos.
Para lograrlo, se hace uso de números como MAC, asignación de direcciones IP y protocolos como DHCP.

Identificación de Usuarios y Asignación de Recursos
No todos los usuarios requieren acceso a todos los recursos, por lo tanto, las credenciales de cada uno debe poner en efecto políticas y condiciones distintas.  Estas deben ser usadas.

Un reto lo constituye la modalidad de permitir cuentas de invitados o “Guest” en el que se le permite a un extraño usar recursos en la red,  esta situación debe quedar cubierta por las políticas impuestas por el administrador y debe tener límites.

4-Protección
Los elementos listados cubren la protección intrínseca que deben tener los equipos y recursos que deben encargarse de los demás ya que serán blanco de ataques.

Protección Física y Control de Acceso
Desde la consola maestra se pueden hacer operaciones que no son posibles desde otra parte.
“Data Closet”, “Data Center”, Cuarto de Comunicaciones o Centro de Datos.  No importa el nombre, no importa el tamaño, el lugar donde está el servidor y sus unidades de almacenamiento de datos debe estar protegido, aislado y restringido y el acceso al mismo debe ser documentado.

NO DESCANSE SÓLO EN AISLARLOS, Los sistemas modernos permiten que la consola maestra pueda ser trasferida al lugar desde donde accese el usuario con credenciales de administrador. Asegúrese de que esas credenciales cierren la sesión si no hay actividad en esa consola durante 2 minutos mínimo. Afortunadamente, el mismo sistema provee bitácoras de acceso.  Haga uso de las mismas rutinariamente.

Aislamiento
Una red segura se vuelve vulnerable al abrir puertos de comunicación hacia otra red.  Muchos no saben la diferencia entre un intranet y el internet, por lo tanto, crean puntos de vulnerabilidad al ubicar recursos en el lugar incorrecto.  Redes virtuales deben ser creadas para mantener aislados los elementos que no deben interactuar entre sí sin antes ser monitoreados por los mecanismos de defensa dispuestos en la red.
Un servidor no debe estar expuesto al internet, en su lugar, se deben disponer áreas de intercambio intermedio en las que se pueda ejercer control.  Si ha de estar expuesto a la internet, todos los mecanismos de detección, control y defensa deben estar dispuestos y actualizados.

Esto del aislamiento es extremadamente importante.  Una empresa podría tener equipos longevos, 10 a 15 años, y mientras se tenga lo necesario para seguir procesando el trabajo, eso no sería problema.  Con lo que ese equipo no puede competir, es con gente malvada que gana acceso desde fuera de la empresa porque directivos jóvenes quieren tener acceso al internet dentro de la empresa.  Eso, los expone.

Monitoreo
Los dispositivos en la infraestructura deben proveeer información en tiempo real a los programas en el servidor capaces de activar los mecanismos de protección.  En muchos casos estos no son usados o peor aún, son ignorados.

Actualizaciones
Sistemas operativos, programas, “firmware” y otros deben ser actualizados usando las fuentes autorizadas por los manufactureros.  Las mismas corrigen fugas de información y vulnerabilidades descubiertas.  Estas deben ser realizadas por personal educado en el área y luego de hacer las pruebas de compatibilidad con el resto de los programas en el ecosistema de aplicaciones usadas en la empresa.  Antivirus, muros cortafuegos (“firewalls”) y otros.

Manejo de Excepciones y Protección
La auditoría y los reportes son herramientas forenses, es decir, pos-mortem, o sea, después de ocurridos los hechos.  La importancia del monitoreo es que permite la adquisición de información en tiempo real que permita la imposición de reglas automatizadas que reaccionen tan pronto ocurran tendencias dirigidas a un ataque.  Con eso se busca prevenir o mitigar un ataque o robo de información en la red.

Auditoría y Reportes
El monitoreo no vale de nada si no se hacen auditorías.  En ella se revela el comportamiento de la red, vulnerabilidades, ataques, fugas de información, atentados y otros.  Esa información permite hacer los ajustes necesarios en los mecanismos de manejo de excepciones y protección que permitan la prevención de robo de información.

Información
La información sensitiva debe estar restringida.  Su uso, modificación, inserción y extracción siempre debe dejar huellas que puedan reconstruir el historial de la misma.  Es así como una auditoría puede obtener información necesaria para  cerrar el cerco a la fuga o mal uso de la misma.

5-Educación
Finalmente, la educación tanto al personal administrativo como a los usuarios en general es crucial toda vez que las vulnerabilidades siempre se logran a través del personal.

Contraseñas obvias y/o anotadas en lugares accesibles, divulgar información sensible y la entrada de viruses siempre se hacen a través del personal.  Técnicas como el Phishing van dirigidas al personal mientras que sinisestros perpetrados contra el sistema requieren métodos que no son sutiles pero sí ocultos a la mayoría del personal.

Vea la Agenda de Seminarios diponibles en www.MiTecnicoPR.com

Ejemplo de lo anterior es el método del “Brute Force Attack” o Ataque de Fuerza Bruta en la que un “Hacker” no ético sobrecarga el sistema con el objetivo de distraer a todos las rutinas de seguridad para exponerlas y lograr un hoyo en la misma.

La protección a este ataque radica en el área de monitoreo de excepciones y protección en tiempo real ya que la auditoría sería muy tarde para ello. Las alertas y protecciones automatizadas deben alertar al personal correcto y el tiempo de respuesta del mismo debe ser inmediato ya que son ataques que ocurren sin que los usuarios puedan ver cosas obvias . En ocasiones lo único que pueden notar son tiempos de respuesta mas lentos en los servicios provistos por el sistema.

Es importante concientizar sobre la importancia de estrategias como el cambio de contraseñas en forma regular, contenido compartido en redes sociales, chats, correos electrónicos y otros.  (Lea el artículo sobre Contraseñas Calculadas).

El personal administrativo debe considerar que NADIE CAMBIA SU CONTRASEÑA VOLUNTARIAMENTE.  Se deben imponer rutinas que obliguen a esto cada 90 días o menos.

Por último, sea claro de que ésa área de la empresa es restringida.  Eso sin llegar a excesos ni paranoia.  Sea delicado en su mensaje y el letrero que use. Eso sí, sea firme en decir "No one messes with my data".




    Share|


    5.0 / 5
    1 reseña
    1
    0
    0
    0
    0

    Angel Davila
    03 Nov 2022
    Excellent contenido lo compartire con companeros de clase
    787-619-6067
    info@MiTecnicoPR.com
    www.MiTecnicoPR.com
    info@MiTecnicoPR.com
    Copyrigh 1988-2023
    by Mr. Carmelo Allende, Jr.
    Regreso al contenido