ciberseguridad

Prevención de ataques informáticos

Prevención de ataques informáticos

Damos continuidad a la revisión de los aspectos más generales de la prevención de ataques informáticos con la Seguridad Informática.

Blindaje de los sitios Web


Consiste en la integración de programación, Base de Datos y plataformas que lo soporta. Lo más usado para elaborar sitios web dinámico y elegantes actualmente, son los Sistemas de Gestión de Contenido (CMS). Tal como Prestashop o WordPress. Debido a su popularidad, estos CMS son los atractivos de la delincuencia informática. La inyección de código malicioso, el spam hack y el pharma hack son sus ataques más comunes.

Tal vez le interese saber qué es el Web Scraping, aquí

Por eso, un sitio web basado en CMS requiere estar a día con las actualizaciones del sistema. También requiere que su plataforma esté optimizada (tuning) y fortificada (hardering). Poner a punto la plataforma es optimizar el sistema operativo y el sevicio para que soporte una gran cantidad de tráfico (más de 4000 por hora).

 

El hardering es el endurecimiento de los aspecto técnicos de la seguridad. En el caso de Apache web server podemos afinarlo con el archivo oculto htaccess.  Por otro lado, el tuning es el afinamiento o puesta a punto de sus recursos.

Puede ver el empleo de ambos conceptos en Linux, aquí http://mylinuxthoughts.blogspot.com.co/2013/10/rhelcentosscientific-linux-perfromance.html

 

Prevención de ataques con un firewall a nivel de aplicación


Lo mejor es que al servidor web le incorporemos un firewall a nivel de aplicación, o WAF (Web Application Firewall). Por ejemplo, en GNU/Linux podemos usar el comando nmap para consultar si un servidor web cuenta con la protección de un WAF, así:

_$ nmap -p 80 –script http-waf-detect.nse IP_DEL_SERVIDOR_WEB

 

Si el resultado no especifíca que un WAF fue detectado, es que el servidor web carece de dicha medida de prevención y defensa.

Cuando se trata de proteger al usuario en un entorno comercial, o que involucre dinero e información sensible, se deben tener medidas para mitigar el web spoofing y el pishing. Protejalo con un certificado SSL.

Desde la programación también podemos hacer un buen aporte a la prevención de ataques informáticos. Por ejemplo, procesando el envío de información sensible con el método POST. Si por el contrario, el envío de información se hace con el método GET, encriptela con la función base64_encode y desencriptelos con base64_decode (en PHP).

 

Aseguramiento del correo electrónico


Los aspectos más relevantes prevención y defensa en este servicio son:

  • Evitar tenerlo como Open Relay.
  • Evitar que entre en listas negras, o black list.
  • Si el servicio se instala con Postfix, reforcémolo con SASL.
  • Activar el registro DMARC del dominio donde funciona el correo electrónico.
  • Si tiene el servicio de correo operando en su propia red, solicítele a su ISP que le configure un registro PTR en la dirección IP pública.
  • El servicio debe soportar TLS.

Podemos hacer uso de la herramienta web https://mxtoolbox.com para auditar la ciberseguridad de nuestro servicio de correo.

 

Ofuscación


Este método consiste en encubrir o maquillar las verdaderas funciones de un servicio de red. Por ejemplo, una práctica bastante usada en ciberseguridad para despistar los ataques al protocolo SSH, es cambiarle su número de puerto, del 22 a cualquier otro.

Si definitivamente no podemos ofuscar un puerto, lo mejor es aplicarle una prevención de ataque de fuerza bruta, como la que provee el paquete fail2ban.

 

Backups de la información


Los backups no son medidas de prevención de ataques o de accidentes. De cualquier forma, hacen parte de la gestión de esta disciplina para recuperarse de un desastre o ataque.

Los backups los podemos procesar con scripts personalizados en bash. También podemos implementarlos con archivos batch en Windows. Finalmente una solución para backups de mayor envergadura, lo podemos implementar con Bacula, Bareos o Amanda.

Vea una introducción a Bacula, aquí

Redes VPN


Por medio de Internet, las VPN proporcionan conectividad segura entre redes o nodos geográficamente separados. Gracias a esto, una empresa con decenas de sucursales puede integrarse en una sola red.

Tengamos en cuenta que hay un tipo de solución parecida a la VPN, llamada tunneling IP, o Túnel IP. Este último encapsula un protocolo de red, dentro de otro protocolo para proporcionar conectividad entre dos o más redes. Sin embargo, esto no ofrece opciones de cifrado que ofrece una VPN.

Los paquetes de software más destacados  en estos servicios son OpenVPN y OpenSwan.

 

Bitácoras de servicios o logs


Un log es como una bitácora donde se registran todas las actividades de un sistema informático, para fines de auditoría. Generalmente los registros se almacenan en archivos de texto. Su análisis es importante para medir la buena salud del sistema y su resistencia a ataques.

 

Controles de Acceso


Consiste es asegurar el ingreso a los recintos de los servidores, cuarto de telecomunicaciones o cualquier otra habitación que albergue información sensible. Dispositivos como tarjetas de proximidad o dispositivos biométricos son muy buenas opciones.

Prevención de ataques informáticos

Dispositivo de reconocimiento biométrico

Circuito Cerrado de Televisión CCTV


Un Circuito Cerrado  de Televisión es esencial para vigilar y almacenar toda actividad cercana a los centros de datos. Además funciona como elemento disuasivo de malas intenciones.

 

Normas técnicas de cableado y de infraestructura de telecomunicaciones


Implementando las normas técnicas de cableado, así como del centro de datos, garantizamos también que los medios de trasmisión mantengan la Disponibilidad y la Integridad de la información.

Las normas ANSI-TIA 942, TIA-568B, así como su debida certificación sirven para tener un panorama claro de la salud del cableado y mitigar puntos de fallo.

La certificación realiza pruebas de longitud, atenuación, interferencia del extremo cercano (NEXT), interferencia en el extremo lejano (FEXT), pérdidas de retorno (Return Loss), así como ACR, Retardos y Sesgos de retardo. Tener estos elementos asegurados nos puede evitar pérdidas en el rendimiento de la red y hasta caídas en el servicio.

Supongo que hasta aquí hemos contemplado los aspectos más generales de las capas del modelo OSI. Con la electrónica y las normas técnicas de cableado, abarcamos la capa 1 y 2; con la protección de sitios web, ofuscación y redes WiFi cubrimos las capas 3, 4, 5 y 7. No obstante, hay una capa que formalmente no pertenece al modelo OSI, pero sí a manera tácita.

 

Políticas de Seguridad Informática (PSI)


No importa si los dispositivos de las TIC están interconectados o aislados de una red. No importa que tan nuevos, potentes y de última generación sean. Tampoco importa que tan pro-activo sea el antivirus o que tan potente sea el firewall.

Si el usuario final hace un mal uso del sistema y de la información que tiene a su mano, todo el marco de la Seguridad Informática será inútil. Por eso, el blindaje y la estabilidad de un sistema estaría incompleta sino contempla el factor humano como ente principal de la producción y consumo de la información.

Es por eso que al usuario se le llame “Capa 8”, pues es el que interactúa con el resto de capas del modelo OSI y en donde ocurre la mayor parte de problemas de seguridad de una compañía. Por tal razón, es necesaria la implementación de una PSI para que las personas interactúen respetuosamente con el sistema.

 

¿Qué son las PSI?


Las políticas de seguridad informática son procedimientos, normativas y restricciones que estructuran la solidez del sistema de información.

Esto crea conciencia entre los empleados para que valoren y estimen la importancia del activo intangible (la información) que hace posible el perfecto funcionamiento de una organización.

Generalmente las medidas de PSI no generan mayor productividad en las empresas. Es decir, incrementan la complejidad de las operaciones en el sistema. Debido a estas razones, las organizaciones son muy renuentes a la hora de asignar presupuesto para la protección informática.

Prácticamente las políticas deben enfocarse como protección o respuesta a las amenazas de la información.

 

< Primera Parte

 

 

Comparte esto en
Publicado en Seguridad Informática.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *