MAYO 1 PROYECTO día de la madre el amor más grande
Seguridad corporativa segundo parcial
1.
2. SEGURIDAD CORPORATIVA
Ya conocemos los pasos necesarios para la
instalación de servidores, y vimos algunas pautas
para configurarlos en el dominio con Active
Directory y con las herramientas que nombramos.
Ahora veremos cómo darles seguridad física y
lógica. Nuestra meta es que los equipos no sean
dañados y no puedan ser modificados ni accedidos
sin los permisos correspondientes.
3. INSTALAR LA CONSOLA GPMC EN WINDOWS SERVER
2008
Conéctese al equipo que sea controlador de dominio
(Active Directory), vaya al botón Inicio y abra el Panel de
control. Ingrese en la opción Activar o desactivar las
características de Windows.
4. QUÉ SON Y CÓMO SE APLICAN LAS POLÍTICAS DE
SEGURIDAD
Las políticas de seguridad son reglas establecidas para el
dominio de nuestra empresa.
Existen políticas de usuarios y de máquinas. Las primeras
restringen las acciones de los usuarios una vez que
ingresan en la red; por ejemplo, podemos evitar que se
ejecuten ciertos programas en los equipos y realizar
muchas otras configuraciones.
Al aplicar políticas de máquinas, tenemos la opción de
estandarizar las propiedades de las PCs de escritorio y
los servidores para que tengan una configuración
general única; es decir que cualquier usuario que use la
máquina tendrá las mismas configuraciones.
5. Para continuar, oprima el botón derecho del mouse sobre la
opción llamada Características del árbol y elija Agregar
características. Políticas de seguridad
Marque la opción Administración de directivas de
grupo para agregar la nueva función que le permitirá
administrar las políticas del dominio.
6. Oprima el botón Instalar para comenzar la instalación y
espere unos minutos.
Luego, compruebe que la instalación se realizó
correctamente expandiendo el árbol debajo de
Característica/Administración de directivas de grupo.
7. La consola conocida como GPMC se conectará a un
controlador de dominio para mostrar la configuración del
dominio Active Directory. Podemos ver un árbol, similar
al de la herramienta denominada Usuarios y equipos,
pero podremos darnos cuenta de que presenta algunas
diferencias, ya que sólo se muestran las OU y las
políticas aplicadas a cada una de ellas; por lo tanto, no
será posible que veamos los objetos que se encuentran
asociados a cada una.
8. Las políticas se aplicarán a todos los objetos que estén en la OU
configurada. Por ejemplo, la OU Argentina contiene otra OU
llamada Computadoras. A todos los objetos que tengamos en
la OU Argentina se les aplicará la política Default Domain
Policy, al igual que en la OU Computadoras, ya que las políticas
se heredan. Decimos que las políticas están conectadas a las
OU porque hay una carpeta especial que es el repositorio en
donde se crean; luego se generan accesos directos a las OU
para configurar las políticas en un determinado lugar del
dominio.
C:>GPRESULT /R
Este comando muestra un listado con las configuraciones
de políticas de cada máquina y las configuraciones de
políticas de usuario que tenga la PC o el servidor en
donde se ejecute. Es muy importante tenerlo en cuenta
para comprobar la aplicación certera de las políticas. En
ciertos casos, deberemos reiniciar el equipo para
lograrlo. También podemos forzarlas a actualizarse
usando el siguiente comando:
9. C:>GPUPDATE
De todos modos, si existen políticas que necesitan un
reinicio, el comando pedirá hacerlo en el momento. Es
conveniente agregar el opcional –f para forzar el reinicio.
Si estamos en duda, siempre debemos reiniciar.
Ejemplo de políticas corporativas
Existen políticas para configurar cualquier aspecto del
uso de una máquina o servidor. Encontraremos
muchos sitios en Internet con recomendaciones y
detalles sobre cada configuración. Vamos a nombrar
algunas de ellas y veremos un ejemplo práctico de
cómo conectar una política a una OU.
10. El paquete de instalación podrá ser leído por cualquier
usuario de la red. Así como este paquete, podremos
copiar el de cualquier programa. Para continuar, veremos
cómo configurar la instalación del paquete para todas las
máquinas. Debemos crear un script de instalación,
guardarlo en la misma carpeta del Netlogon y, como
último paso, crear una política que corra el script al inicio
del sistema desde la consola GPMC. El script debe
crearse utilizando un editor de textos.
Crear una política y conectarla a una OU
Vaya al menú Inicio/Ejecutar y escriba el comando
notepad.exe, para abrir el editor de texto.
11. Para continuar, será necesario que escriba el siguiente texto en el
editor de notas del sistema operativo: @echo off. Debe tener en
cuenta la necesidad de dejar un renglón. Luego escriba (para el
ejemplo que mencionamos más arriba):
nombredominio.comnetlogoncarpetaaplicacionaplicacion.ex
e. Por último, guarde el archivo utilizando el menú adecuado.
Renombre el archivo para cambiar su extensión .TXT por .BAT o
guárdelo desde el editor de notas con esa extensión. A
continuación, muévalo para ubicarlo en la carpeta de la
aplicación en el Netlogon.
12. Vaya a Inicio/Ejecutar. Escriba gpmc.msc para abrir la
consola de comandos.
Posiciónese en Objetos de directiva de grupo y elija la
opción Nuevo.
Escriba un nombre para la política y oprima el botón
Aceptar. Deje la lista desplegable de abajo como
está por defecto.
13. En este paso deberá oprimir el botón Aceptar, luego de lo cual
tendrá que cerrar la pantalla de edición. En la consola
posiciónese donde quiera conectar la política. Para todas las
computadoras de escritorio, ubíquese en la OU denominada
Computadoras. Para continuar, haga clic con el botón derecho
del mouse y elija la opción Vincular un GPO existente.
Una vez que se reinicie el sistema, se comenzará a instalar
la aplicación con las credenciales de un usuario
administrador, se llamará al script y se ejecutará en
forma oculta. En todos los sistemas operativos Windows
este tipo de tareas se realiza con el usuario de sistema.
Se trata de un usuario especial con privilegios de
administración que sólo puede ser manejado por el
mismo sistema operativo.
14. POLÍTICAS AVANZADAS PARA WINDOWS 7 Y
WINDOWS SERVER 2008
Estuvimos aprendiendo cómo configurar algunas
políticas de seguridad, la aplicación de otras es
muy similar a las vistas anteriormente. Ahora
conoceremos qué es lo nuevo que nos trae el
directorio de dominio de Active Directory con
Windows Server 2008 R2. El sistema operativo
incluye algunos cambios y algunas ventajas con
respecto a su antecesor, Windows Server 2003.
Nombraremos los más destacados en cuanto a
políticas de seguridad.
15. ACCESO A LOS CENTROS DE CÓMPUTOS
Si dejamos de lado la protección contra un incendio o brindamos
total libertad en el acceso al centro de cómputos, estaremos en
problemas tarde o temprano. A continuación haremos una
descripción de los puntos importantes para tener en cuenta con
respecto a la seguridad física. También, extendiendo la
introducción del Capítulo 2 a lo que es un plan de
contingencias, detallaremos aún más sus características y
explicaremos cómo crear uno.
Seguridad física en los centros de cómputos
La seguridad física es muy importante para la administración. El
centro de cómputos es el lugar en donde se conectan los
equipos servidores que nosotros administramos. Puede tener
distintos tamaños según la cantidad de equipos que albergue.
No sólo tiene equipos servidores, sino que también cuenta con
varios elementos que se deben proteger. Tiene un piso técnico
(piso flotante por debajo del cual se pasan los cables), racks,
armarios, un equipo de control de temperatura, otro para
16. Otra amenaza importante son los incendios, que pueden
originarse de varias maneras, motivo por el cual es
necesario estar preparados. El piso, el techo y las
paredes deben estar creados con materiales ignífugos y
no tiene que haber ningún elemento inflamable dentro
del centro. Es fundamental contar con algún equipo
controlador de incendios en estado latente,
generalmente, mediante polvo químico o dióxido de
carbono.
17. Verificamos en primer lugar que no haya luces rojas en
los servidores. Si las hay, abrimos el panel de luces y
buscamos información que indique la causa.
• Comprobamos ahora que no haya luces naranjas en
los servidores. Si las hay, buscamos otra vez las
causas y completamos el formulario.
• Nos dirigimos al panel de control de electricidad y en
él verificamos en forma cuidadosa que no haya ningún
indicador encendido.
18. PLAN DE CONTINGENCIAS
Continuando con la introducción que hicimos en el
Capítulo 2, detallaremos un poco más lo que es un
plan de contingencias y qué aspectos debemos
tener en cuenta.
Tiene que contener todas las tareas que debemos
realizar para que el centro de cómputos vuelva a su
estado original y operativo. El plan contempla
posibles incendios, catástrofes, cortes de luz,
sabotajes, etc. La capacidad para recuperarse
exitosamente de un desastre en un corto período es
crucial para el negocio.
19. PODRÍAMOS HACERLO TENIENDO EN CUENTA LOS
SIGUIENTES PUNTOS:
• Pensar en los posibles desastres que pueden ocurrir e identificar los riesgos que la
empresa afrontaría en caso de que sucediera alguno. Luego, evaluar las pérdidas
económicas, y realizar estadísticas y gráficos.
• Aplicar los conocimientos sobre los sistemas de la empresa, y jerarquizar las
aplicaciones en críticas y no críticas.
• Establecer los requerimientos de recuperación. Tomar nota de todo lo necesario y los
pasos por seguir con cada sistema. Luego, generar documentación clara.
• Implementar el plan de contingencias, realizar pruebas y simulacros para verificar
que los procedimientos son los indicados antes de que sea tarde.
• Difundir el plan de contingencias en la empresa mediante comunicaciones masivas e
indicadores. Por último, será necesario planificar en detalle un mantenimiento y
chequeo del plan cada cierto tiempo.
20. NORMAS DE SEGURIDAD
En esta sección veremos normas que están en el
mercado y nos permiten certificarnos en calidad
(ISO9001), en seguridad (ISO27001) y en buenas
prácticas (ISO20000). ITIL no es una certificación
propiamente dicha, pero las empresas están
aplicando los procedimientos descriptos como tal.
Estas prácticas provienen del Reino Unido. A
continuación, analizaremos las normas ISO20000 e
ISO15000, que tienen una certificación valedera y se
basan en procedimientos de ITIL.
21. NORMAS ISSO 9001 Y 27001
Las normas ISO 9001 y 27001 son estándares
elaborados por la Organización Internacional para la
Estandarización, una federación internacional de
los institutos de normalización de 157 países;
organización no gubernamental con sede en
Ginebra (Suiza). Todos estos países, en consenso,
estudian los estándares requeridos por el mercado
sobre tecnología, productos, métodos de gestión,
etc. El organismo no obliga a aplicar los
estándares; esto es voluntario y sólo es obligatorio
si en el país rige una legislación sobre su
aplicación.
22. Tanto esta norma como las otras, de las cuales hablaremos
más adelante, pueden servir a la empresa para trabajar
mejor o, en muchos casos, como parte de su plan de
marketing. Algunas compañías sólo certifican
determinados departamentos o productos específicos, y
no, la organización en su integridad.
Pero nosotros tenemos que enfocarnos en lo que estas
normas significan para la administración de servidores.
La norma ISO9001 nos da una gran ayuda para mantener
una guía de calidad en nuestro trabajo. Aplicarla hasta
los límites que podamos hacerlo seguramente nos
gratificará tarde o temprano.
23. Aplicar la norma en la empresa es una carta de presentación
al mundo, significa decirle que tenemos calidad en lo que
hacemos. La aplicación nos otorga una mejora en toda la
documentación, nos asegura que la información se
actualice y sea efectiva, reduce los costos y disminuye la
cantidad de procesos.
La norma 27001 gestiona la seguridad. Se basa en un
Sistema de Gestión de la Seguridad de Información,
también conocido como SGSI. Este sistema, bien
implantado en una empresa, nos permitirá hacer un
análisis de los requerimientos de la seguridad de nuestro
entorno.
24. ITIL Y LA NORMA ISO20000
ITIL proviene del inglés Information Technology
Infrastructure Library, biblioteca de infraestructuras
de tecnologías de la información. Es un marco de
referencia de mejores prácticas para gestionar
operaciones y servicios de IT. Fue definido en los
años 80 por el Reino Unido y es, sencillamente, el
sentido común documentado a lo largo de los años
de aprendizaje de gestores de departamentos de
helpdesk de todas partes del mundo.
25. ITIL no es un estándar; no existe una certificación ITIL,
podemos obtenerla certificación de las normas ISO20000
o BS15000 que se basan en ITIL. Cualquier empresa
puede implementar ITIL, pero es recomendable para
aquellas que tengan más de cinco personas en el
departamento de help desk. Fue publicado como un
conjunto de libros, cada uno dedicado a un área
específica dentro de la gestión de IT.
26. LOS LIBROS DE LA ÚLTIMA VERSIÓN SON LOS
SIGUIENTES:
1. Mejores prácticas para la provisión de servicio
2. Mejores prácticas para el soporte de servicio
3. Gestión de la infraestructura de IT
4. Gestión de la seguridad
5. Perspectiva de negocio
6. Gestión de aplicaciones
7. Gestión de activos de software
8. Planeando implementar la gestión de servicios
9. Implementación de ITIL a pequeña escala (complementario)
27. La ISO20000 fue publicada en diciembre del año 2005. Nos permite
concentrarnos en una gestión de problemas de tecnología de la
información mediante el uso de un planteamiento de servicio de
asistencia. También controla la capacidad del sistema, los niveles de
gestión necesarios cuando éste cambia, la asignación de presupuestos, y
el control y la distribución del software.
En la primera, los requisitos pueden detallarse como se indica a
continuación:
1. Mejores prácticas para la provisión de servicio
2. Mejores prácticas para el soporte de servicio
3. Gestión de la infraestructura de IT
4. Gestión de la seguridad
5. Perspectiva de negocio
6. Gestión de aplicaciones
7. Gestión de activos de software
8. Planeando implementar la gestión de servicios
9. Implementación de ITIL a pequeña escala (complementario)
28. Actualmente, se está realizando una revisión para alinear la norma con la ITIL
v3, por lo que se está trabajando en dos partes más: una trata el modelo
de procesos de referencia de gestión de servicios, que describe cómo se
establecen las bases del modelo de madurez y el marco de evaluación; y
la quinta y última requiere un ejemplar del plan de implementación para la
norma; es la presentación de un ejemplar final de todas las tareas por
realizar.
Estas tareas deben ser cubiertas por ambos para lograr la certificación:
• Determinar el alcance de la certificación dentro de la empresa. Acotar los
límites
en los cuales la norma tiene incidencia.
• Realizar una solicitud de la certificación ante la entidad certificadora.
También es
necesario analizar la documentación correspondiente a la norma y ver todos
los
requisitos que debe cumplir la empresa.
• Organizar una visita previa de la entidad certificadora a nuestra empresa, de
esta
forma será posible ultimar los detalles pendientes.
29. ANTIVIRUS CORPORATIVOS
Las máquinas de escritorio podrían ser las primeras
en infectarse con un virus y podrían originar un
ataque masivo a nuestra red. Entonces, los
servidores y la continuidad del negocio sin duda se
verían afectados. Los antivirus corporativos son
una evolución de los comunes, usados fuera de una
red empresarial. Tienen una configuración
centralizada y varios módulos que detallaremos a
continuación.
30. CARACTERÍSTICAS DE LOS ANTIVIRUS
CORPORATIVOS
Sin dudas, la evolución de los antivirus nació con el
estudio de los de escritorio. Es por eso que los de
servidores son mucho más potentes, tienen más
opciones, más configuraciones, y abarcan la
seguridad de la empresa como un todo. Además,
centralizan información de toda la red y las
descargas de actualizaciones, muy importante para
unificar la seguridad. Incorporan todo un grupo de
elementos, por ejemplo: antivirus, firewall,
antispyware, antispam, analizadores de tráfico de
red, etc.
31. Estos antivirus nos aseguran tener una administración centralizada.
Habrá un servidor central, que administre los clientes instalados en
servidores y máquinas de escritorio.
Los clientes, al querer actualizarse, buscarán las actualizaciones
adecuadas en el servidor central de la empresa antes de hacerlo en
Internet.
Infraestructura de los antivirus
Las soluciones de antivirus corporativos tienen varios
servicios que debemos instalar.
Es preciso proteger toda la infraestructura: servidores,
máquinas de escritorio, accesos y egresos. Los servidores y
las máquinas de escritorio tendrán instalados clientes, que
reportarán a un servidor central, el cual será exclusivo de la
aplicación de seguridad.
32. FIREWALLS CORPORATIVOS
Según estadísticas del IDC (International Data
Corporation), el FBI (Federal Bureau of
Investigation), la CIA (Central Intelligence Agency) y
de varios organismos más, el 98% de las empresas
cuenta con algún sistema de firewall. Los firewalls
son las puertas de entrada a nuestra empresa, por
lo que debemos controlar el acceso de la manera
adecuada, como controlamos el ingreso a nuestra
casa. A continuación, conoceremos detalles de los
firewalls lógicos y los físicos. Más adelante
veremos cómo definir reglas de administración en
ellos.
33. FIREWALLS FÍSICOS Y LÓGICOS
Estos sistemas están diseñados para bloquear el
acceso no autorizado por ciertos canales de
comunicación en nuestra red. Pueden limitar el
tráfico y también cifrarlo, para ocultar datos hasta el
destino.