jueves, 14 de enero de 2010

Los 10 errores de un Administrador de Redes

Leí esto en internet me pareció interesante....

Por: Carolyn Duffy Marsan, Network world

Cuando se observan los peores casos de violación de seguridad corporativa, está claro que los administradores de red continúan cometiendo las mismas equivocaciones una y otra vez, y que muchos de estos errores son fáciles de evitar.

“Solo no estamos haciendo lo fundamental,” dice Peter Tippett, vicepresidente de innovación y tecnología de Verizon, que ha estado revisando violaciones de seguridad por 18 años

Información relacionada


La misma contraseña para todo, el mayor riesgo para la seguridad

En 2008, Verizon Bussiness analizaba 90 violaciones de seguridad que representaron 285 millones de expedientes comprometidos. La mayor parte de estos incidentes implicaron al crimen organizado, que encontraba un acceso desprotegido a una red usado para robar los datos de una tarjeta de crédito, los números de la seguridad social u otra información de identificación personal.

10 historias lamentables de pérdida de datos

Lo que es asombroso es cuantas veces estas violaciones de seguridad fuerion el resultado de que los administradores de red olvidaban tomar medidas obvias para asegurar sus sistemas, particularmente los servidores no críticos.

“Solo no estamos haciendo lo fundamental,” dice Peter Tippett, vicepresidente de innovación y tecnología de Verizon Bussiness, que ha estado revisando violaciones de seguridad por 18 años.

Tippett nos ayudó a juntar una lista de las medidas más simples que un administrador de red puede tomar para eliminar la mayoría de violaciones de seguridad. No seguir los puntos de esta lista sería, simplemente estúpido.

  1. Cambio de contraseñas por defecto en todos los dispositivos de la red.

    Administradores de sistemasTippett dice que es “increíble” cuantas veces las corporaciones tienen un servidor, switch, ruteador o dispositivo de red con la contraseña por default -- típicamente “password” o “admin” -- aún habilitada. La mayoría de los CIO's (por sus siglas en inglés Chief Information Officer) piensa que este problema nunca podría sucederles, pero Tippett lo ve diariamente.

    Para evitar este problema, usted necesita activar un explorador de vulnerabilidades en cada dispositivo de su red con una dirección IP, no solamente los sistemas críticos o conectados a Internet, dice Tippett. Luego necesita cambiar las contraseñas por default que encuentre por algo más. Más que la mitad de los registros comprometidos el año pasado fueron el resultado de usar la contraseña por default en un dispositivo de red, según el estudio de Verizon Bussiness.

    2. Distribución de contraseñas a través de múltiples dispositivos de red.

    Los departamentos de IT utilizan a menudo la misma contraseña a través de múltiples servidores y mucha gente sabe la contraseña. Podría ser un buen password -- una cadena complicada de números y letras -- pero una vez que se ha compartido entre varios sistemas, todos estos están en riesgo

    Por ejemplo, una de las personas que sabe la contraseña, podría cambiar de trabajo y reutilizarla en su nueva empresa. O un empleado contratado por fuera (outsourcer) que maneja un sistema no crítico, tal como el sistema de enfriamiento del centro de datos, podría utilizar la misma contraseña en todos los sistemas que administra para todos sus clientes. En cualquier caso, si la contraseña es descubierta por un pirata informático (hacker), este puede acceder a muchos servidores y dar rienda suelta a provocar daños.

    Tippett dice que los departamentos necesitan un proceso -- automatizado o manual -- para cerciorarse de que las contraseñas del servidor no sean compartidas entre sistemas múltiples, se cambien regularmente y se mantengan seguras. Dice que es tan simple como mantener las contraseñas actuales anotadas en tarjetas que son mantenidas en una caja de seguridad controlada por una persona.

    3. No poder encontrar errores de codificación de SQL.

    El ataque "hack" más común -- que representa el 79% de los registros comprometidos -- es contra una base de datos SQL conectada a un servidor web. La manera en que los piratas informáticos acceden a estos sistemas es incorporando un comando de SQL a una forma web (formulario de captura). Si la forma se cifra correctamente, no debe aceptar comandos de SQL. Pero a veces accidentalmente los desarrolladores crean lo que se conoce como errores de inyección SQL.

    Tippett dice la manera más fácil de prevenir estos errores es ejecutar un firewall en modo “de aprendizaje”, de modo que pueda ver cómo los usuarios incorporan datos en un campo y después poner el firewall en modo “operativo” para que los comandos SQL no puedan ser "inyectados" en un campo. El problema de codificación de SQL es extenso. “Si una compañía prueba 100 servidores, probablemente encontrará un problema de inyección SQL en 90 de ellos,” dice Tippett.

    A menudo, las compañías reparan solamente los errores de inyección SQL en sus servidores críticos, olvidando que la mayoría de los piratas informáticos acceden a sus redes a través de sistemas no críticos. Tippett sugiere que los administradores de red dividan sus redes en segmentos usando listas de control de acceso para restringir a los servidores de "hablar" con dispositivos no esenciales. Esto evitaría que un pirata informático ganara extenso acceso a datos gracias a un error de codificación inevitable de SQL.

    4. Desconfiguración de listas de control de acceso.

    Segmentar su red usando listas de control de acceso (ACL) es la manera más simple de cerciorarse de que los sistemas se comunican solamente con los sistemas que deben. Por ejemplo, si usted permite que los socios comerciales tengan acceso a dos servidores en su red con su VPN, debe utilizar las listas de control de acceso para cerciorarse de que estos tienen solamente acceso a los dos servidores. Así, si un pirata informático entra en su red por el acceso para socios comerciales, puede acceder solamente a los datos sobre estos dos servidores.

    “A menudo un chico malo que entra en la red vía VPN tiene acceso a todo,” dice Tippett. De hecho, teniendo correctamente configuradas listas de control de acceso se habrían protegido el 66% de los registros que fueron comprometidos el año pasado, según el informe de Verizon. La razón por la que los CIO's no toman esta simple medida, es que implica el uso de sus rutedores como firewalls, y muchos encargados de red no quieren hacerlo.

    5. Permitir la administración y acceso remotos de software no seguro.

    Una de las formas más populares para que los piratas informáticos accedan a su red es utilizar y administrar un paquete de programas informáticos con acceso remoto, tal como PCAnywhere, Virtual Network Computing (VNC) o Secure Shell (SSH). A menudo, estas aplicaciones carecen de las más básicas medidas de seguridad, tales como buenas contraseñas.

    La manera más simple de encontrar este problema es ejecutar una exploración externa a través de su espacio entero de direcciones IP, para buscar tráfico de PCAnywhere, VNC o SSH. Una vez que usted encuentre estas aplicaciones, ponga las medidas de seguridad adicionales en ellas tales como tokens o certificados además de contraseñas. Otra opción es explorar el flujo de datos de sus ruteadores externos y ver si tiene algún acceso remoto para administrar tráfico fluyendo a través de su red.

    Este problema es bastante común para contar con el 27% de los registros comprometidos en el reporte de Verizon Bussiness.

Una vez que los hackers se meten a tu red, pueden poner su tienda, tomarse su tiempo y observar tu tráfico.

      1. No poder probar vulnerabilidades básicas en aplicaciones no críticas.

        Cerca del 80% de los ataques "hack" son el resultado de agujeros de seguridad en aplicaciones web, según el informe de Verizon Bussiness. Los administradores de red saben que su vulnerabilidad más grande está en aplicaciones web, así que ponen todo su esfuerzo en la prueba de sus sistemas críticos y sistemas conectados a Internet.

        El problema es que la mayoría de los ataques refuerza errores de seguridad en sistemas no críticos dentro de las redes. “El mayor problema es que estamos probando como locos las aplicaciones web críticas, y no estamos probando las aplicaciones no-Web,” dice Tippett. Recomienda a los administradores de red probar vulnerabilidades básicas en todas sus aplicaciones.

        "La gente ha sido enseñada por siempre a enfocarse enlas cosas por orden de importancia crítica", pero los chicos malos no saben que es crítico o no. Entran en el orden de cuán fácil es”, dice Tippett. “Una vez que los hackers se meten a tu red, pueden poner su tienda, tomarse su tiempo y observar tu tráfico.”

        7. No proteger adecuadamente sus servidores contra software malicioso.

        El software malicioso (malware) en los servidores explica el 38% de las violaciones de seguridad, dice Verizon Bussiness. La mayoría del software malicioso es instalado por un atacante remoto y utilizado para capturar datos. Típicamente, el malware se personaliza, así que no puede ser descubierto por el software antivirus. Una forma para que los administradores de red encuentren softwares maliciosos tales como un (keylogger) o programa espía (spyware) en sus servidores es ejecutar un software de detección de intrusos en un host (host-based) en cada servidor, no solo en servidores críticos.

        Tippett sugiere una manera simple de prevenir muchos de estos ataques: Proteja los servidores de modo que ninguna nueva aplicación pueda funcionar en ellos. "Los administradores de red odian hacer eso porque puede ser que quieran agregar software nuevo más adelante,” dice Tippett. “Les digo que abran el candado, instalen el nuevo software y después cierren el candado otra vez.”



        8. No configurar los ruteadores para prohibir tráfico externo no deseado.

        Una forma popular que usa el software malicioso es poner de una puerta trasera o un intérprete de comandos en un servidor. Una forma para evitar que un pirata informático se aproveche de una puerta trasera o un intérprete de comandos es segmentar la red usando listas de control de acceso. De esta manera puede prevenir que los servidores envíen tráfico que no deben enviar. Por ejemplo, un servidor de correo debe enviar solamente el tráfico de correo, no tráfico SSH. Otra opción es utilizar sus ruteadores para aplicar por default el filtro de bloqueo de flujo externo (deny egress filtering), que bloquea todo el tráfico externo a excepción de lo que usted quiere dejar pasar a su red.

        Los “solamente 2% de compañías hacen esto. Me desconcierta en cuanto a porqué no lo hace el otro 98%,” dice Tippett. "Este tipo de filtrado es trivial.”

        9. No saber donde se almacenan datos como tarjetas de crédito u otros datos críticos de clientes.


        La mayoría de las compañías piensan que saben dónde se almacenan los datos críticos tales como información de tarjetas de crédito, números de la seguridad sociales u otra información de identificación personalmente, y refuerzan estos servidores con los más altos niveles de seguridad. Pero a menudo, estos datos se almacenan en alguna otra parte de la red, por ejemplo en un sitio de respaldo o en el departamento de desarrollo de software.



        Son estos servidores secundarios, no críticos que consiguen ser atacados y llevan a menudo a la mayoría de violaciones de datos. Una manera fácil de indagar dónde se almacenan los datos críticos es practicar un descubrimiento de red (network discovery). “Típicamente pegamos un sniffer en la red y vemos donde los datos críticos se suponen que están y vemos a donde más van,” dice Tippett.

        10. No seguir el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago.

        El sistema de 12 controles para el trabajo de protección de información del titular de la tarjeta de pago, apodado PCI DSS, dice Tippett. “La mayoría de la gente incluso no busca cumplir los estándares PCI,” dice Tippett. A menudo una compañía sigue estos controles para los servidores donde sabe que almacena datos de tarjetas de crédito, pero no en los otros servidores desconocidos que tambien reciben estos datos críticos.

        Aunque los 98% de todos los registros comprometidos implican datos de tarjetas de pago, sólo 19% de organizaciones con violaciones de seguridad siguieron los estándares PCI, según el informe de negocio de Verizon. “Es obvio. Siga los estándares PCI. Esencialmente trabajan,” dice Tippett.

        Fuente: Network world

1 comentario:

  1. Muy buen articulo, para tener en cuenta, jeje. La verdad que son medidas que duran poco y despues se van disolviendo, por lo menos me quedo tranquilo, donde estoy trabajando ahora aplique 8 de las 10, me voy a tener que poner las pilas con las otras 2.

    Igual agregaría una tambien muy básica, que es el buen funcionamiento de los sitemas de backup.

    ResponderEliminar