ciberseguridad

Prevención de ataques informáticos

Damos continuidad a la revisión de los aspectos más generales de la prevención de ataques informáticos con la Seguridad Informática.

Blindaje de los sitios Web


Consiste en la integración de programación, motores de bases de datos y plataformas que lo soporta. Lo más usado para elaborar sitios web dinámicos y elegantes actualmente, son los Sistemas de Gestión de Contenido (CMS), tal como Prestashop o WordPress. Debido a su popularidad, estos CMS son los atractivos de la delincuencia informática. La inyección de código malicioso, el spam hack y el pharma hack son sus ataques más comunes.

Tal vez le interese saber qué es el Web Scraping, aquí

Por eso, un sitio web basado en CMS requiere estar a día con las actualizaciones. También requiere que su plataforma esté optimizada (tuning) y fortificada (hardering). Poner a punto la plataforma es optimizar el sistema operativo y el sevicio para que soporte una gran cantidad de tráfico (por ejemplo, más de 4000 visitas por hora).

El hardering es el endurecimiento de los aspecto técnicos de la seguridad. En el caso de Apache web server podemos afinarlo con el archivo oculto htaccess.  Por otro lado, el tuning es el afinamiento o puesta a punto de sus recursos.

Puedes ver el empleo de ambos conceptos en Linux, aquí http://mylinuxthoughts.blogspot.com.co/2013/10/rhelcentosscientific-linux-perfromance.html

Prevención de ataques con un firewall a nivel de aplicación


Lo mejor es que al servidor web le incorporemos un firewall a nivel de aplicación, o WAF (Web Application Firewall). Por ejemplo, en GNU/Linux podemos usar el comando nmap para consultar si un servidor web cuenta con la protección de un WAF, así:

_$ nmap -p 80 --script http-waf-detect.nse IP_DEL_SERVIDOR_WEB

Si el resultado no especifíca que un WAF fue detectado, es que el servidor web carece de dicha medida de defensa.

Cuando se trata de proteger al usuario en un entorno comercial, o que involucre dinero e información sensible, se deben tener medidas para mitigar el web spoofing y el pishing. Protejalo con un certificado SSL y autenticación de doble factor.

Desde la programación también podemos hacer un buen aporte a la prevención de ataques informáticos. Por ejemplo, procesando el envío de información sensible con el método POST. Si por el contrario, el envío de información se hace con el método GET, encriptela con la función base64_encode y desencriptelos con base64_decode (en PHP).

Prevención de escaneos de puertos


Nmap, como casí cualquier otra cosa, es una herramienta de doble filo. Puede servirnos para detectar problemas de seguridad o de conectividad, así como podemos convertirnos en su víctima (usada por un atacante). En el siguiente artículo explico una forma de protegerse de escaneos de puertos.

Bloquear escaneo de puertos en Linux

Aseguramiento del correo electrónico


Los aspectos más relevantes prevención y defensa en este servicio son:

  • Evitar tenerlo como Open Relay.
  • Evitar que entre en listas negras, o black list.
  • Si el servicio se instala con Postfix, reforcémolo con SASL.
  • Activar el registro DMARC del dominio donde funciona el correo electrónico.
  • Si tiene el servicio de correo operando en su propia red, solicítele a su ISP que le configure un registro PTR en la dirección IP pública.
  • El servicio debe soportar TLS.

Podemos hacer uso de la herramienta web https://mxtoolbox.com para auditar la ciberseguridad de nuestro servicio de correo.

Ofuscación


Este método consiste en encubrir o maquillar las verdaderas funciones de un servicio de red.

Protección de Fuerza Bruta


Hacer el cambio del puerto TCP de un servicio, es una buena práctica para despistar a los atacantes. Sin embargo, dicho cambio generalmente es una solución temporal, porque al final terminan descubriendo el nuevo puerto. En este caso, es bueno complementar esta medida aplicando un control de fuerza bruta con Fail2Ban.

Backups de la información


Las copias de respaldo, o backups, no son medidas de prevención de ataques o de accidentes. De cualquier forma, hacen parte de la gestión de esta disciplina para recuperarse de un desastre o ataque.

Los backups los podemos procesar con scripts personalizados en bash. También podemos implementarlos con archivos batch en Windows. Finalmente una solución para backups de mayor envergadura, lo podemos implementar con Bacula, Bareos o Amanda.

Vea una introducción a Bacula, aquí

Redes VPN


Por medio de Internet, las VPN proporcionan conectividad segura entre redes o nodos geográficamente separados. Gracias a esto, una empresa con decenas de sucursales puede integrarse en una sola red.

Tengamos en cuenta que hay un tipo de solución parecida a la VPN, llamada tunneling IP, o Túnel IP. Este último encapsula un protocolo de red, dentro de otro protocolo para proporcionar conectividad entre dos o más redes. Sin embargo, esto no ofrece cifrado como una VPN.

Los paquetes de software más destacados  en estos servicios son OpenVPN y OpenSwan.

Puedes aprender a configurar una VPN con OpenVPN en el siguiente artículo:

Instalar OpenVPN en Ubuntu

Bitácoras de servicios o logs


Un log es una bitácora donde se registran todas las actividades de un sistema informático, para fines de auditoría. Generalmente los registros se almacenan en archivos de texto. Su análisis es importante para medir la buena salud del sistema y su resistencia a ataques.

Controles de Acceso


Consiste es asegurar el ingreso a los recintos de los servidores, cuarto de telecomunicaciones o cualquier otra habitación que albergue información sensible. Dispositivos como tarjetas de proximidad o dispositivos biométricos son muy buenas opciones.

Prevención de ataques informáticos

Dispositivo de reconocimiento biométrico

Circuito Cerrado de Televisión CCTV


Un Circuito Cerrado  de Televisión es esencial para vigilar y almacenar toda actividad cercana a los centros de datos. Además funciona como elemento disuasivo de malas intenciones.

Normas técnicas de cableado y de infraestructura de telecomunicaciones


Implementando las normas técnicas de cableado, así como del centro de datos, garantizamos también que los medios de trasmisión mantengan la Disponibilidad y la Integridad de la información.

Las normas ANSI-TIA 942, TIA-568B, así como su debida certificación sirven para tener un panorama claro de la salud del cableado y mitigar puntos de fallo.

La certificación realiza pruebas de longitud, atenuación, interferencia del extremo cercano (NEXT), interferencia en el extremo lejano (FEXT), pérdidas de retorno (Return Loss), así como ACR, Retardos y Sesgos de retardo. Tener estos elementos asegurados nos puede evitar pérdidas en el rendimiento de la red y hasta caídas en el servicio.

Supongo que hasta aquí hemos contemplado los aspectos más generales de las capas del modelo OSI. Con la electrónica y las normas técnicas de cableado, abarcamos la capa 1 y 2; con la protección de sitios web, ofuscación y redes WiFi cubrimos las capas 3, 4, 5 y 7. No obstante, hay una capa que formalmente no pertenece al modelo OSI, pero sí a manera tácita.

Si quieres aprender más sobre el Modelo OSI, puedes leer el siguiente artículo:

El Modelo OSI

Políticas de Seguridad Informática (PSI)


No importa si los dispositivos de las TIC están interconectados o aislados de una red. No importa que tan nuevos, potentes y de última generación sean. Tampoco importa que tan pro-activo o eurístico sea el antivirus, o que tan potente sea el firewall. Si el usuario final hace un mal uso del sistema y de la información que tiene a su mano, todo el marco de la Seguridad Informática será inútil.

Por eso, el blindaje y la estabilidad de un sistema estaría incompleta sino se contempla el factor humano como ente principal de la producción y consumo de la información.

Es por eso que al usuario se le llama “Capa 8”, pues es el que interactúa con el resto de capas del modelo OSI y en donde ocurre la mayor parte de problemas de seguridad de una compañía. Por tal razón, es necesaria la implementación de una PSI para que las personas hagan un tratamiento más responsable de la información.

Existen un conjunto de procedimientos sugestivos, enfocados a explotar la vulnerabilidad de los usuarios. Se llama Ingeniería Social, y puedes aprender sobre ese tema en el siguiente artículo:

Ingeniería social

¿Qué son las PSI?


Las Políticas de Seguridad Informática son procedimientos, normas y restricciones que estructuran la solidez del sistema de información.

Esto crea conciencia entre los empleados para que valoren y estimen la importancia del activo intangible (la información), que hace posible el perfecto funcionamiento de una organización.

Generalmente las medidas de PSI no generan mayor productividad en las empresas. Es decir, incrementan la complejidad de las operaciones en el sistema. Debido a estas razones, las organizaciones son muy renuentes a la hora de asignar presupuesto para la protección informática.

Prácticamente las políticas deben enfocarse como protección o respuesta a las amenazas de la información.

 

< Primera Parte

 

 

Comparte esto en
Publicado en Seguridad Informática.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *