HABLEMOS UN POCO SOBRE SEGURIDAD
----------------------------------------------------

Se promueven muchas veces grandes debates en los foros de noticias, y sobre todo hay bastante desinformación por parte de artículos y pseudoperiodistas en este ámbito. Vamos a intentar hablar un poco sobre el tema.

Uno de los graves y grandes motivos con que nos encontramos es muchas veces el apasionamiento que mucha gente tiene por sus productos.... mejor dicho por los productos que conoce, y otras veces falta de información sobre el tema, o bien el convencimiento de que con un simple cortafuegos y con un simple antivirus ya está totalmente protegido. Vamos a aplicar una máxima en esto: "sentido común". Sin él, no podremos hacer nada y, como veremos, se utilizará dicha frase en varias ocasiones en este artículo.

Lo primero que tenemos que distinguir siempre, es entre ámbito empresarial y ámbito doméstico. Son totalmente diferentes las necesidades, las herramientas para hacerlo, y el peligro inherente. Aunque el artículo no va dirigido a la seguridad en el ámbito empresarial estará bien poner unas guias mínimas de cómo se mueven las empresas porque esto nos indicará algunas acciones, solo algunas, que podemos aplicar en un ambiente doméstico.

 

ÁMBITO EMPRESARIAL
----------------------------------

De cara al exterior: cortafuegos, zona desmilitarizada, segundo cortafuegos, gestores de correo y comunicación con el exterior, proxy, tercer nivel de cortafuegos y red local. No es enfoque de este artículo la construcción, compleja muchas veces y que ha de adecuarse a las necesidades y servicios de la empresa de cara al exterior, de dicha arquitectura.

Es importante notar un primer nivel de antivirus corporativo en los servidores de correo. Estos antivirus no tienen nada que ver con los antivirus domésticos a los que los usuarios en general están acostumbrados y por desgracia, son carísimos, tanto su adquisición como sus licencias de mantenimiento. Igualmente las salidas a internet se harán únicamente a través de proxy y todos los puertos excepto los de navegación, incluidos los puertos de ftp, por ejemplo, deben estar bloqueados.

Igualmente, con respecto a las máquinas físicas:

*) Los servidores deben estar en habitaciones especiales, bajo llave, y debe existir un responsable de acceso.

*) La seguridad debe estar basada en Dominio. Directorio Activo.

*) Debe existir otra habitación, para los servidores de unidades de CDROM así como grabadoras si es necesario.

*) Los PC's físicos (puestos de trabajo), deben tener instalado como mínimo W2000 o XP. Deben estar unidos al dominio. Todos los usuarios deben ser "users" en su máquina local. Igualmente las políticas de configuración deben estar activadas al objeto que no puedan conectarse localmente (en el nodo local) y únicamente se puedan conectar al Dominio. El usuario Administrador no será accesible localmente.

*) Las máquinas físicas (estaciones de trabajo), deberan tener deshabilitado el lector de disquetes y no podrán poseer unidad de CD.

*) Se debe responsabilizar a la gente de tal manera que consideren su password como el PIN de su tarjeta de crédito. Es decir, que lo vigilen y sean responsables de él.

*) Deberán activarse las políticas que obligan a usar password compleja. Igualmente las políticas de históricos de password para no permitir su repetición, y las password deben caducar mensualmente obligando a que la password introducida sea nueva.

*) Deberán activarse las políticas para que no pueda instalarse ningun hardware nuevo en las máquinas (por ejemplo, los famosos discos "pen drive" los cuales pueden ser peligrosos para sacar / llevar información. Por el mismo motivo tampoco podrán instalar módems para salida al exterior. El propio Windows lo impedirá en este caso.

*) Deberá tenerse activo un antivirus en cada cliente (a pesar de los antivirus corporativos en los servidores de correo).

*) La instalacion del software necesario, deberá pasar por un comité de homologación. Y los departamentos de sistemas deberán preparar los procedimientos necesarios para que puedan instalarse desde el servidor a los puestos de trabajo que necesite ese software particular.

*) La salida a Internet, sólo será posible a traves del navegador web, ya que el proxy de salida le impedirá el uso de otro puerto.

*) Los niveles de protección del navegador deben aumentarse: no se podrá ejecutar código Java, ni Javascript, ni ActiveX. Deberán estar todos los niveles en "denegación".

*) Es responsabilidad del departamento de sistemas el tener los mecanismos para aplicar todos los parches de seguridad localmente.

*) A ser posible, se implementará un sistema mediante tarjeta chip y lector de tarjetas, siendo este sistema la única manera de hacer logon en las máquinas.

 

ÁMBITO DOMÉSTICO
----------------------------

....... (continuará)......

--
Jose Manuel Tella Llop
jmtella@compuserve.com

1 - junio - 2003