Este documento describe las políticas de seguridad y cómo se aplican para proteger una empresa. Explica cómo crear políticas de usuarios y máquinas usando la herramienta GPMC de Microsoft. También cubre la seguridad física del centro de cómputos y la importancia de planes de contingencia. Por último, discute normas de seguridad como ISO 27001 y antivirus corporativos.
2. Seguridad corporativa
Políticas de seguridad
.Qué son y cómo se aplican las políticas de seguridad
Las políticas de seguridad son reglas establecidas para el dominio de nuestra
empresa. Existen políticas de:
• usuarios • máquinas.
Las primeras restringen las acciones de los usuarios una vez que ingresan en la
red.
Al aplicar políticas de máquinas, tenemos la opción de estandarizar las
propiedades de las PCs de escritorio y los servidores para que tengan una
configuración general única; es decir que cualquier usuario que use la máquina
tendrá las mismas configuraciones.
En muchos casos, deberemos crear estas reglas por pedido de los departamentos
de Seguridad o de Recursos Humanos.Utilizamos la herramienta denominada
GPMC {Group Policy Management Consolé) de Microsoft para efectuar esta tarea.
Como instalar la consola GPMC
1.- Conéctese al equipo que sea controlador de dominio (Active Directory), vaya al
botón Inicio y abra el Panel de control. Ingrese en la opción Activar o
desactivar las características de Windows.
3. 2 - Para continuar, oprima el botón derecho del mouse sobre la opción llamada
Características del árbol y elija Agregar características.
3.- Marque la opción Administración de directivas de grupo para agregar la
nueva función que le permitirá administrar las políticas de! dominio.
4.- Oprima el botón instalar para comenzar la instalación y espere unos minutos.
4. 5.- Luego, compruebe que la instalación se realizó con-ectamente expandiendo el
árbol debajo de Característica/Administración de directivas de grupo.
La consola conocida como GPMC se conectará a un controlador de dominio para
mostrar la configuración del dominio Active Directory.
Las políticas se aplicarán a todos los objetos que estén en la OU configurada.
La carpeta se denomina Objetos de directiva de grupo. Una vez creada una
política, se puede conectar o desconectar de distintas OU que necesitemos. Las
políticas aplicadas a una máquina pueden chequearse desde la línea de
comandos de la siguiente manera:
C:>GPRESULT IR
Este comando muestra un listado con las configuraciones de políticas de cada
máquina y las configuraciones de políticas de usuario que tenga la PC o el
servidor en donde se ejecute.
En ciertos casos, deberemos reiniciar el equipo para lograrlo. También podemos
forzadas a actualizarse usando el siguiente comando:
C:>GPUPDATE
A continuación, aprenderemos a publicar un paquete de software para todas las
máquinas de la red y a configurarlo para que se instale al iniciar el sistema
mediante una política de seguridad. En el Netlogon podemos publicar scripts y
paquetes de instalación para que sean accedidos por cualquier usuario de la red.
Para acceder al Netlogon y copiar un archivo, sólo será necesario que escribamos
el comando nombredominio.comnetlgon en el menú Inicio del sistema operativo,
desde la opción denominada Ejecutar.
5. m
j
Debemos crear un script de instalación, guardarlo en la misma carpeta del
Netlogon y, como último paso, crear una política que corra el script al inicio del
sistema desde la consola GPMC. El script debe crearse utilizando un editor de
textos.
Crear una política y conectarla a una OU
1.- Vaya al menú Inicio/Ejecutar y escriba el comando notepad.exe, para abrir el
editor de texto.
2.- Para continuar, será necesario que escriba el siguiente texto en el editor de
notas del sistema operativo: @echo off. Luego escriba (para el ejemplo que
mencionamos más arriba):
nombredominio.comnetlogoncarpetaaplicacionaplicacion.exe. Por último,
guarde el archivo utilizando el menú adecuado.
6. 3 - Renombre el archivo para cambiar su extensión .TXT por .BAT o guárdelo
desde el editor de notas con esa extensión. A continuación, muévalo para ubicarlo
en la carpeta de la aplicación en el Netlogon.
-
4.- Vaya a Inicio/Ejecutar. Escriba gpmc.msc para abrir la consola de comandos.
1 3
5.- Posiciónese en Objetos de directiva de grupo y elija la opción Nuevo.
7. 6 - Escriba un nombre para la política y oprima el botón Aceptar. Deje la lista
desplegable de abajo como está por defecto.
—m
7.- Vaya a la política recién creada y posteriormente
haga clic con el botón derecho del mouse en ella. Elija
Editar para poder configurarla.
8.-A continuación, expanda el árbol
de Configuración del equipo y
luego diríjase a la sección
denominada Configuración de
Windows. Expanda nuevamente el
árbol y elija la opción llamada
Scripts. En el lado derecho de la
pantalla haga clic derecho sobre
Inicio y escoja la opción
Propiedades.
[Editar script m
H^Vdoffiinto comVneHoi>DrA«p),xacion^5fcsc!one«3iH ínmmim..
i
Cancelar
9.- Para continuar, oprima el
botón denominado Agregar y
posteriormente escribir la
ruta dei script; en este caso
deberá copiar la que se
muestra a continuación:
dominio.comnetloqonapl
icacionapiicacion.bat.
8. 10.- En este paso deberá oprimir el botón
Aceptar, luego de lo cual tendrá que cerrar la
pantalla de edición. En la consola posiciónese
donde quiera conectar la política. Para todas las
computadoras de escritorio, ubiqúese en la OU
denominada Computadoras. Para continuar,
haga clic con el botón derecho delmouse y elija
la opción Vincular un GPO existente.
Ctear m '3*0 en este darninio y vinculdrb aquí.
Vinoiar un '3P0 aastprite,,,
. c-e direc-rvav de gi
Ayuda
11.- Elija la nueva política antes creada del
listado que figura en pantalla y finalmente haga
clic sobre el botón llamado Aceptar.
Una vez que se reinicie el sistema, se comenzará a instalar la aplicación con las
credenciales de un usuario administrador, se llamará al script y se ejecutará en
forma oculta.
Políticas avanzadas para Windows 7 y Windows Server 2008
Otro cambio importante es que tenemos la opción de restringir los diseños de las
contraseñas para distintos tipos de usuarios. El diseño es la estructura que
definimos para que una clave exista.
Seguridad física en los centros de cómputos
La seguridad física es muy importante para la administración. El centro de
cómputos es el lugar en donde se conectan tos equipos servidores que nosotros
administramos.
Tiene un piso técnico (piso flotante por debajo del cual se pasan los cables), racks,
armarios, un equipo de control de temperatura, otro para control de energía y uno
para controlar incendios.
9. Es preciso controlar el indicador de temperatura, ya que un equipo puede generar
demasiado calor, más del soportable, y hasta alguno puede quemarse. Los racks
son capaces de albergar servidores y switches, consolas para conectarse a los
equipos y pacheras. Deben estar bien ventilados, refrigerados y ordenados para
que todo funcione correctamente. No sólo tenemos servidores que resguardar,
sino todo un grupo de elementos físicos que son muy importantes. Debemos
protegerlos, entonces, contra intrusos, desastres naturales, incendios, sabotajes, y
otros factores. Necesitamos ser cuidadosos con el acceso de intrusos, porque
puede haber un sabotaje a los servidores y, también, ataques mucho más graves.
Como administradores, podemos restringir el acceso de varias formas. Una es
utilizar un lector de tarjetas magnéticas, un escáner de iris o de mano, o un simple
guardia.
Otra amenaza importante son los incendios, que pueden originarse de varias
maneras, motivo por el cual es necesario estar preparados. El piso, el techo y las
paredes deben estar creados con materiales ignífugos y no tiene que haber ningún
elemento inflamable dentro del centro.
Una buena práctica sería llenar un formulario diario, y hacerlo llegar a todos los
administradores y responsables cada día.
• Al iniciar el día, imprimimos un formulario y vamos hasta el centro de cómputos.
Anotamos todo el control en él.
Verificamos en primer lugar que no haya luces rojas en tos servidores. Si las hay,
abrimos el panel de luces y buscamos información que indique la causa.
• Comprobamos ahora que no haya luces naranjas en los servidores. Si las hay,
buscamos otra vez las causas y completamos el formulario.
10. • Nos dirigimos al panel de control de electricidad y en él verificamos en forma
cuidadosa que no haya ningún indicador encendido.
• Vamos hasta el controlador de temperatura del centro de cómputos y verificamos
que esté en 22 grados o por debajo de ese valor.
• Entramos en la consola de monitoreo lógico y verificamos las alarmas del día.
Plan de contingencias
El plan de contingencias nos dice qué hacer en caso de que ocurra una situación
no deseada. Tiene que contener todas las tareas que debemos realizar para que
el centro de cómputos vuelva a su estado original y operativo. El plan contempla
posibles incendios, catástrofes, cortes de luz, sabotajes, etc. La capacidad para
- recuperarse exitosamente de un desastre en un corto período es crucial para el
negocio. Indica las salidas de emergencia, la ubicación de los manuales de
emergencia, los procedimientos por seguir, los responsables y los teléfonos a
donde llamar. Podríamos hacerio teniendo en cuenta los siguientes puntos:
• Pensar en los posibles desastres que pueden ocurrir e identificar los riesgos que
la empresa afrontaría en caso de que sucediera alguno.
• Aplicar los conocimientos sobre los sistemas de la empresa, y jerarquizar las
aplicaciones en críticas y no críticas.
• Establecer los requerimientos de recuperación.
• Implementar el plan de contingencias, realizar pruebas y simulacros para verificar
que los procedimientos son los indicados antes de que sea tarde.
• Difundir el plan de contingencias en la empresa mediante comunicaciones
masivas e indicadores.
La ejecución y puesta a punto del plan de contingencias es responsabilidad
nuestra y de toda la empresa.
Normas de seguridad
En esta sección veremos normas que están en el mercado y nos permiten
certificarnos en calidad (ISO9001), en seguridad (ISO27001) y en buenas
prácticas {1SO20000). ITIL no es una certificación propiamente dicha, pero las
^ empresas están aplicando los procedimientos descriptos como tal.
11. Normas ISSO 9001 y 27001
Las normas ISO 9001 y 27001 son estándares elaborados por la Organización
Intemacional para la Estandarización, una federación intemacional de los institutos
de normalización de 157 países. La norma ISO9001 especifica los requerimientos
para un buen sistema de gestión de la calidad.
La norma 1SO9001 nos da una gran ayuda para mantener una guía de calidad en
nuestro trabajo. Aplicarla hasta los límites que podamos hacerlo seguramente nos
gratificará tarde o temprano. La norma ISO9001:2008 se compone de ocho
capítulos
CAPITULO DESCRIPCION
l Guías y descripciones generaíes
11 Nonnatͥ3s de referenda
III Términos y definiciones
IV Sistema de pstión
V Responsabilidades de la Dirección
VI G^fión de los recursos
VI! Realización del producto
Vlli iallcióf!, análisis y ÜKJOT
La norma 27001 gestiona la seguridad. Se basa en un Sistema de Gestión de la
Seguridad de Información, también conocido como SGSI. Este sistema, bien
implantado en una empresa, nos permitirá hacer un análisis de los requerimientos
de la seguridad de nuestro entorno. Con ellos, podremos crear procedimientos de
mantenimiento y puesta a punto, y aplicar controles para medir la eficacia de
nuestro trabajo.
ISO 27000 - Estructura
Biratégico
• Seguridad oiganízativa
• Segundad lógica
• Seguridad física
• Seguridad legal
Operativo
GesUón de
Incidentes d"
de la informacisn
z.
Adquisición, desarrollo
y mantenimiento de
sistemas de intormncion ?
r ' " s
12. Nuestro objetivo ai aplicar esta norma tiene que ser asegurar la confidencialidad,
integridad y disponibilidad de la información para nuestros empleados, clientes y
cada persona que intervenga en el negocio.
ITIL y la norma ISO20000
ITIL proviene del inglés Information Technology Infrastructure Library, biblioteca de
infraestructuras de tecnologías de la información. Es un marco de referencia de
mejores prácticas para gestionar operaciones y servicios de IT.
Mejora Continua
del Seríicio
Oparacion
del Setvido
Diseño
Estratega
oelSavlcle
Mejora Continua
de! Senido
Mejora Continua
dei Servicio
TtarKtaon
La ISO20000 fue publicada en diciembre del año 2005. Debemos tener en cuenta
que la norma se divide en tres partes: la primera se encarga de realizar la
definición de los requisitos necesarios para diseñar, implementar y mantener la
gestión de servicios IT de una empresa; la segunda nos enseña cuáles son los
mejores procedimientos para los procesos de gestión de servicios, las mejores
prácticas codificadas según el mercado; y por último, la tercera parte es una guía
sobre el alcance y la aplicabilidad de la norma correspondiente.
Antivirus corporativos
Las máquinas de escritorio podrían ser las primeras en infectarse con un virus y
podrían originar un ataque masivo a nuestra red. Entonces, los servidores y la
continuidad del negocio sin duda se verían afectados. Los antivirus corporativos
son una evolución de los comunes, usados fuera de una red empresarial. Tienen
una configuración centralizada y varios módulos que detallaremos a continuación.
Características de los antivirus corporativos
Sin dudas, la evolución de los antivirus nació con el estudio de los de escritorio. Es
por eso que los de servidores son mucho más potentes, tienen más opciones, más
configuraciones, y abarcan la seguridad de la empresa como un todo. Además,
13. centralizan información de toda la red y las descargas de actualizaciones, muy
importante para unificar la seguridad. Incorporan todo un grupo de elementos, por
ejemplo: antivirus, firewail, antispyware, antispam, analizadores de tráfico de red,
etc.
Estos antivirus nos aseguran tener una administración centralizada. Habrá un
servidor central, que administre los clientes instalados en servidores y máquinas
de escritorio. Los clientes, al querer actualizarse, buscarán las actualizaciones
adecuadas en el servidor central de la empresa antes de hacerlo en Internet.
Infraestructura de los antivirus
Las soluciones de antivirus corporativos tienen varios servicios que debemos
instalar. Es preciso proteger toda la infraestructura: servidores, máquinas de
escritorio, accesos y egresos. Los servidores y las máquinas de escritorio tendrán
instalados clientes, que reportarán a un servidor central, el cual será exclusivo de
la aplicación de seguridad.
Rouíer
Cliente A Cliente B
Firewail
Conmutador/Hub
Cliente C Symantec Endpoint Securfly
Manager con base
de datos integrada
Figura 14. Este gráfico muestra cómo se vería nuestra infraestructura
de antivirus en un amWerrte chico, sin ¡Uvisión de servicios, sin replicación.
El servidor es parte de nuestra red y está de frente a los clientes, sin ningún tipo
de firewail en el medio. Si nuestra empresa es más grande, tendremos el gráfico
de la Figura 15.
Conmutación por error y batanceo de carga
Symantec Encipoínt
Protectton fvianager
Clientes
m
Switch
Symantec Endpoint
f
Switch
Protíjction IMat>ager
Figura IS. Si rtuestra empresa es más grande, ta instalación
requerirá de dos o más servidoras fiara controlar la gran cantidad
de clientes en la red. y otro más paca almacenar ¡os datos.
14. Crear un reporte programado con Symantec
1.- En el servidor de Symantec Endpoint Security Manager diríjase a inicio/
Programas, y abra la consola de administración de Symantec.
2.- Para continuar, será necesario que oprima sobre el icono correspondiente a la
opción denominada Reports, ubicado en la barra de herramientas del lado
izquierdo, y elija la solapa Scheduied Reports.
3.- Haga clic en Add para programar un nuevo reporte. Complete el nombre, una
breve descripción, elija cada cuánto se va a repetir, e indique una fecha de inicio y
un filtro en la lista desplegable Use a saved filter.
15. a*3 3
4- En este paso deberá seleccionar el tipo de reporte deseado en el menú
desplegable llamado Report Type. En este caso, es Computer Status Report,
para crear un reporte de estado de clientes.
5.- A continuación, cree un reporte de definición de actualización. Para hacerlo, del
menú desplegable Select a Report seleccione el reporte de estado Virus
Definition Distribution.
Por último, complete un e-mail y oprima OK para guardar el reporte creado.
16. Firewalls corporativos
Según estadísticas del IDC (International Data Corporation), el FBI (Federal
Bureau of Investigation), la CIA (Central Intelligence Agency) y de varios
organismos más, el 98% de las empresas cuenta con algún sistema de firewail.
Los firewalls son las puertas de entrada a nuestra empresa, por lo que debemos
controlar el acceso de la manera adecuada, como controlamos el ingreso a
nuestra casa.
Firewalls físicos y lógicos
Estos sistemas están diseñados para bloquear el acceso no autorizado por ciertos
canales de comunicación en nuestra red. Pueden limitar el tráfico y también
cifrarlo, para ocultar datos hasta el destino. Otra función importante es que se los
puede utilizar como gateways (puertas de enlace) entre distintas redes. Sin la
seguridad del firewail, el tráfico sería un caos, y cualquier paquete de información
podría llegar a cualquier puerto de nuestro servidor y, así, entrar sin permiso a la
red.
Este tipo de firewalls son físicos (hardware). Pueden bloquear conexiones por
puertos o direcciones de IP o MAC, pero no, una máquina que cambia de
dirección IP constantemente. Entonces, si dentro de un protocolo HTTP queremos
bloquear todas las conexiones a los sitios que contengan la palabra virus, los
firewalls físicos podrán bloquear sólo direcciones de IP, por lo que tendremos que
cargar continuamente direcciones por ser bloqueadas según una búsqueda previa.
Es allí donde nos encontramos con los firewalls lógicos, que trabajan a nivel de
aplicación, dentro de cada protocolo. Entonces, para bloquear estos sitios,
precisamos configurar una regla que nos diga que se cierren todas las conexiones
en donde el nombre del sitio por conectar contenga la palabra virus.
Los proxys son programas o dispositivos que realizan una acción en nombre de
otro. Son intermediarios de comunicación, y es ahí donde actúa el firewail. Los
dispositivos de nuestra red no se conectan directamente a Internet, sino que lo
hacen a través del proxy.
17. Desired Internet Connectivity
t'4rt' I iri I-' trabajo
Definición de reglas de seguridad
La definición de reglas en los firewalls no es nada más y nada menos que
establecer un bloqueo o una habilitación de cierto protocolo y puerto. Hay dos
políticas básicas y formas de realizar las configuraciones que tienen que ver con la
filosofía de ía seguridad dentro de la empresa:
• Política restrictiva
• Política permisiva
Adoptando la primera, debemos denegar todo el tráfico excepto el que esté
explícitamente permitido. Entonces, cerramos todos los puertos de comunicación,
y habilitamos los protocolos y los puertos que utilicemos. La segunda es un poco
más blanda, ya que con ella permitimos todo el tráfico excepto el que esté
explícitamente denegado; es decir que dejamos todos los puertos abiertos y
bloqueamos sólo aquellos que nos parezcan una amenaza.