Las contramedidas técnicas
Los medios integrados en los entornos Microsoft
Microsoft realiza enormes esfuerzos para dar a los administradores los medios para proteger sus sistemas. Podemos afirmar que, desde hace algunos años, estos esfuerzos han dado sus frutos y dan a los usuarios finales herramientas extraordinariamente protegidas. Solo les queda a los administradores controlar estas herramientas y configurarlas adecuadamente. Este libro no está dedicado al aprendizaje completo de estos medios de protección, sino solo a profundizar en algunos puntos importantes, teniendo en cuenta que debe conocer, al menos en parte, la manera de administrar los sistemas de Windows. Con estos elementos dispondrá al menos de las claves esenciales para proteger mejor su entorno.
Los medios de instalación y configuración de los productos pueden variar dependiendo de la versión que utilice. Si algunas explicaciones le parecen demasiado breves e igual hasta insuficientes o no corresponden a la versión del programa que tiene, le invitamos a consultar los numerosos libros de Ediciones ENI que tratan temáticas como Active Directory o Administración de Servidores de Windows Server 2012. Estos libros le darán informaciones más amplias sobre la configuración de servicios y medios de defensa en una infraestructura Windows Server.
Algunos términos se han dejado voluntariamente en su versión inglesa para facilitar la búsqueda de documentación en Internet. Las informaciones pertinentes no suelen traducirse sistemáticamente.
1. Impedir el arranque del sistema
Se habrá dado cuenta de que, si un usuario puede arrancar su equipo con un DVD tan inofensivo como el de instalación de Windows, podrá tomar el rol de sistema o de administrador del equipo que maneja. Debe, en la medida de lo posible, evitar que pueda modificar un servidor offline o, peor, piratear un controlador de dominio.
a. SysKey
Para impedir a otro usuario arrancar un servidor sin autorización, es posible activar Syskey. Esta clave es utilizada por el sistema operativo para leer el hash de las contraseñas en Windows. Por defecto, está almacenada en el registro. Cuando un sistema arranca, esta clave es leída automáticamente, y los servicios arrancan también; después el usuario puede autenticarse. Puede, para proteger un servidor o su propio equipo, modificar...
Configurar una autenticación fuerte
Hemos demostrado que la contraseña no es fiable ya que resulta más o menos fácil obtenerla con diversos medios: extracción de la SAM, del AD, falsa ventana de diálogo, keylogger, falso proxy, escucha de la red, etc. Configurar la seguridad utilizando una contraseña compleja reduce únicamente el riesgo de poder craquearla si se ha comprometido de una forma no reversible (MD4, NTLM, etc.). En los demás casos, la contraseña se encuentra habitualmente en claro. Es casi imposible impedir que un hacker obtenga una contraseña de un sitio web, una aplicación de empresa, de inicio de sesión si el usuario abre un archivo infectado en una empresa o en su ordenador personal.
Las empresas instalan cada vez más un SSO (Single Sign On) que permite, una vez la sesión está abierta, acceder a todos los archivos y todas las aplicaciones. El SSO es cómodo para el usuario ya que su identidad sólo es válida una sola vez, es por lo tanto en general positivo.
Sin embargo existe un enorme riesgo si se compromete la contraseña de la sesión. Una persona malintencionada tendrá entonces acceso a todos los archivos y aplicaciones de la empresa sin restricción. Las aplicaciones de empresa que usan una contraseña fija tienen el mismo riesgo de ser comprometidas por un keylogger, un falso proxy, la escucha de la red, una falsa ventana de diálogo, etc.
Es muy importante comprender que la identidad debe ser fuertemente controlada ya sea con SSO o sin él. Es gracias a la identidad del usuario que este recibe los permisos y los accesos a los archivos y aplicaciones. Es por eso que algunas aplicaciones deben asimismo pedir una autenticación más fuerte que una contraseña o un SSO con el fin de no ser accesibles por una persona malintencionada (aplicaciones de RRHH, financieras, salarios, investigación, etc.).
Para asegurar lo mejor posible una infraestructura, hay que tener en cuenta que únicamente el uso de una contraseña es poco fiable. Es por lo tanto válido para trabajar en documentos y aplicaciones clasificadas como poco importantes o públicas.
Para continuar utilizando Windows, los documentos y aplicaciones de la empresa reduciendo los riesgos de comprometerlos, hay que reforzar la autenticación de la sesión...
Otros medios técnicos
1. La disociación
Para reducir las tentativas conseguidas de ataques, puede, en términos físicos, separar las redes de los usuarios de las de los servidores, y por qué no, de las de los servidores aún más importantes. Podrá, a través de esta separación, poner en marcha un cortafuegos o reglas de acceso directamente en los repetidores. Acuérdese también de poner switchs dedicados si esto aumenta la seguridad.
a. Disociación de redes físicas
Para crear separaciones físicas, puede trabajar con routers y cortafuegos. El objetivo es impedir que ciertos equipos o usuarios puedan conectarse a los servicios sensibles, como las cuentas financieras o los documentos de recursos humanos.
Por lo tanto, en este caso, es importante definir adecuadamente las reglas de enrutamiento y de los cortafuegos, para garantizar la seguridad, pero también para estar seguro de que todas las aplicaciones comunes (Mail, Lync, carpetas compartidas, intranet, etc.), así como las aplicaciones propias a las funciones de cada uno, funcionen correctamente.
b. Uso de VLAN
Para evitar tener una infraestructura demasiado costosa, no es raro que se use VLAN (Virtual LAN) para proteger y separar entornos dedicados. Sin embargo, tenga cuidado con el funcionamiento de sus conmutadores si sufriesen un ataque de tipo flood. En la mayoría de los casos, cuando el switch sobrepasa sus límites, se transforma en un hub o define todos sus puertos con la VLAN por defecto, generalmente la VLAN 1. Todos los equipos pueden entonces comunicarse entre ellos sin ninguna restricción.
Aun con este riesgo, las VLAN son una forma fiable y poco costosa de configurar una separación de entornos.
Para configurar una VLAN determinada en una máquina virtual Hyper-V, puede crear un nuevo switch con la VLAN deseada y atribuir sus puertos a las máquinas virtuales en los parámetros de la interfaz de red y atribuirlo a la máquina virtual en cuestión.
c. Antivirus
Del lado del cliente, puede desde ya instalar un número de herramientas para protegerse, pero también para tener un informe de la tendencia general de la empresa en cuanto a virus, spyware o tentativas de intrusión. El mercado está inundado de programas antivirus y de cortafuegos gratuitos. Lo más duro no es encontrar uno adecuado, sino...