none
Medidas de seguridad contra ataques interno-externo

    Pregunta

  • Buenos dias.

    Voy a pasar un revisión de mi seguridad interna y externa de mi red y me han recomendado que cumpla con algunos aspectos, por lo cual recurro al foro para que me puedan recomendar segun su experiencia. Tengo un dominio con Windows 2008 y Exchange Server, equipos windows XP y windows 7.

    • Los nombres de los equipos del dominio deberian tener una nomenclatura que no indetifique a los servicios que se brinda en el caso de Servidores o nombre de usuarios en el caso de PCs. En este caso que nomenclatura usar o que patron seguir para nombrar a los equipos? Algun consejo? Y esto segun su experiencia también se utiliza para nombres de de usuario?
    • Ningun equipo fuera del dominio como visitantes deben poder ingresar a la red interna ya sea por red cableada o WIFI. Podrian saber la ip estatica que debn usar o el password del WIFI pero no deberian tener acceso a la red, me hablaron acerca de autenticacion 802.1X, al implementar esto se volvera lento la comunicaciòn en mi red?como se implementa? debemos tener en cuenta que no solo seran equipos Windows, sino tambien MAC, linux, incluso smartphones.
    • Tener una red para visitantes y red de cuarentena, la auntenticaciòn d802.1X se puede implementar por segementos de red o VLAN? ya que algunos equipos no deberian autenticar como los servidores o si deberian hacerlo?
    • Seguridad de endpoint, en este caso en cada equipo tengo un antivirus, a q se refieren con seguridad endpoint?
    • Cifrado de datos sensibles, como se puede implementar en windows?
    • Para el caso de soporte remoto a estaciones remotas, que software usan? o en el caso de escritorio remoto o terminal server como asegurarlo para que no sean debiles frente a ataques de fuerrza bruta para los passwords.
    • Seguridad  de medios extraibles, fuga de informaciòn y DLP, en windows es posible hacer esto?
    • Proteccion contra ataques MITM, arp spoofing, DoS. En entornos Windows como puedo protegerme de esto? es a nivel de hardware, software, ecnriptación(aunque hara mas lento el proceso)? que recomiendan? Para ataques desde la red externa (internet) como el caso de DoS como me protejo, ya que podrian atacar el router que me da acceso y se bloqueara toda mi red o atacar mi firewall o mis host publicos, FTMG presenta algunas soluciones contra esto?

    En sus escenarios me imagino que han pasado por estos inconvenientes, que medidas de seguridad tomar.

    Saludos.

     

     

    DoS

    arp


    OrlandoP
    • Editado OrlandoP sábado, 08 de octubre de 2011 15:39
    sábado, 08 de octubre de 2011 14:38

Respuestas

  • Hola OrlandoP,

    1) En cuanto a nombres de servidores y la relación con el servicio que brindan, en mi opinión depende de ti. Desde luego es mas seguro no revelar los servicios que brinda cada servidor, pero la verdad es que resulta poco práctico para una PYME tener nombres de servidor rarísimo. Además, ni te cuento el follón que tendrás si cada vez que un usuario quiera entrar a su correo tenga que escribir 01cAnfmd.dominio.com! Lo que se me ocurre para minimizar algo así sería redireccionar subdominios con "masking," por ejemplo, que si alguien escribe "mail.dominio.com" le lleve a asjdlsjdlkajs.dominio.com, pero que eso no se vea en el navegador.

    2) En donde hago yo de voluntario, tenemos justamente lo que describes. Varias redes internas, de wifi y de cable y una de invitados. A las de wifi internas no puede entrar ningún ordenador que no esté en el dominio. La WiFi de invitados está totalmente aparte, y tiene un inicio de sesión. A la red cableada solo pueden acceder ordenadores del dominio, y en muy pocos sitios puede acceder cualquier ordenador siempre y cuando cumpla con la política de la red. Esto se gestiona con el NAP (Network Access Policy) de Windows server.

    3) Lo mejor creo que sería una VLAN en la mayoría de los casos, y la verdad es que funcionan excelentemente!

    4) Seguridad "Endpoint" es simplemente una palabra sofisticada para el antivirus de toda la vida! Viene del inglés, punto final, o sea, el usuario. Y si, es imprescindible que cada usuario tenga algún tipo de protección instalada. Por muy cuidadoso que seas por la red, tener tu ordenador sin antivirus es como tener tu coche sin seguro.

    5) Si tienes la edición Ultimate o Enterprise de Windows y tus equipos tiene un chip TPM, puedes usar el BitLocker, que está muy bien. Si no, tendrás que usar software de otras empresas.

    6) Donde estoy yo, muy recientemente hemos empezado a usar un software de Helpdesk nuevo que trae un visor remoto. Un programa muy conocido es el TeamViewer, y no te preocupes que no es demasiado inseguro. Si que no activaría RDP de Windows en todas las máquinas, ya que eso, aunque no es exactamente un fallo de seguridad, un empleado que se aburre en la empresa te puede causar un lío.

    7) Aquí me has pillado. Por lo que sé, en políticas de grupo puedes gestionar si permitir el uso de dispositivos extraíbles, pero en cuanto a usar extraíbles de manera segura, lo mejor que puedes hacer es poner un buen antivirus.

    8) Esto ya es complicado! Contra el DDoS (Distributed Denial of Service)(ojo, no es lo mismo que el DoS con una sola D), no hay mucho que puedas hacer salvo actualizar mucho y muy frecuentemente tus aplicaciones y servicios web (para prevenir DoS - una sola D). Los balanceadores de carga también vienen muy bien para esto. El DoS (Denial of Service) es cuando pasa cualquier cosa en tu red o alguien explota una vulnerabilidad que hace que no se de servicio a los usuarios. El DDoS (Distributed Denial of Service) es cuando una cantidad masiva de ordenadores infectados mandan solicitudes (generalmente SYN) a un servidor. Claro, el servidor no puede con tanto y acaba cayéndose o quemándose un procesador si no tienes cuidado. Pero, si te ataca una botnet rusa de 10,000,000 de ordenadores, lo máximo que puedes hacer es con calma rezar y contactar con la compañía de internet, banear rangos de IP, cambiar IP's, en fin, perder un fin de semana. Contra el ARP Spoofing lo mismo, actualiza mucho, sobre todo los routers, ya que se basa en encontrar una debilidad en la memoria del router. Contra MITM lo primero es utilizar una buena encriptación en la red, WPA2, AES/TKIP, etc... Si la red no está encriptada, cualquier empleado aburrido recoge un par de paquetes y en una tarde le lía el Facebook a media empresa. Todo lo que te he dicho no tiene porque impactar demasiado el rendimiento de la red. FTMG está muy, muy, bién, pero pronto se acabara el soporte para todo lo que sea Forefront, asi que tendrás que buscar otro software o un Firewall de hardware.

    Espero que te haya podido ayudar y mucha suerte!

    Julian


    lunes, 04 de marzo de 2013 19:21

Todas las respuestas

  • Hola

    Yo tengo la misma estructura, y te digo que varios de los puntos que expones ya los tengo implementados, y mi idea es implementarlos todos. 

    Igualmente todos sabemos que al estar conectados ya nos tornamos vulnerables, es solo tratar de dificultar mas la intrusion.

    Slds

    lunes, 18 de febrero de 2013 19:52
  • Hola OrlandoP,

    1) En cuanto a nombres de servidores y la relación con el servicio que brindan, en mi opinión depende de ti. Desde luego es mas seguro no revelar los servicios que brinda cada servidor, pero la verdad es que resulta poco práctico para una PYME tener nombres de servidor rarísimo. Además, ni te cuento el follón que tendrás si cada vez que un usuario quiera entrar a su correo tenga que escribir 01cAnfmd.dominio.com! Lo que se me ocurre para minimizar algo así sería redireccionar subdominios con "masking," por ejemplo, que si alguien escribe "mail.dominio.com" le lleve a asjdlsjdlkajs.dominio.com, pero que eso no se vea en el navegador.

    2) En donde hago yo de voluntario, tenemos justamente lo que describes. Varias redes internas, de wifi y de cable y una de invitados. A las de wifi internas no puede entrar ningún ordenador que no esté en el dominio. La WiFi de invitados está totalmente aparte, y tiene un inicio de sesión. A la red cableada solo pueden acceder ordenadores del dominio, y en muy pocos sitios puede acceder cualquier ordenador siempre y cuando cumpla con la política de la red. Esto se gestiona con el NAP (Network Access Policy) de Windows server.

    3) Lo mejor creo que sería una VLAN en la mayoría de los casos, y la verdad es que funcionan excelentemente!

    4) Seguridad "Endpoint" es simplemente una palabra sofisticada para el antivirus de toda la vida! Viene del inglés, punto final, o sea, el usuario. Y si, es imprescindible que cada usuario tenga algún tipo de protección instalada. Por muy cuidadoso que seas por la red, tener tu ordenador sin antivirus es como tener tu coche sin seguro.

    5) Si tienes la edición Ultimate o Enterprise de Windows y tus equipos tiene un chip TPM, puedes usar el BitLocker, que está muy bien. Si no, tendrás que usar software de otras empresas.

    6) Donde estoy yo, muy recientemente hemos empezado a usar un software de Helpdesk nuevo que trae un visor remoto. Un programa muy conocido es el TeamViewer, y no te preocupes que no es demasiado inseguro. Si que no activaría RDP de Windows en todas las máquinas, ya que eso, aunque no es exactamente un fallo de seguridad, un empleado que se aburre en la empresa te puede causar un lío.

    7) Aquí me has pillado. Por lo que sé, en políticas de grupo puedes gestionar si permitir el uso de dispositivos extraíbles, pero en cuanto a usar extraíbles de manera segura, lo mejor que puedes hacer es poner un buen antivirus.

    8) Esto ya es complicado! Contra el DDoS (Distributed Denial of Service)(ojo, no es lo mismo que el DoS con una sola D), no hay mucho que puedas hacer salvo actualizar mucho y muy frecuentemente tus aplicaciones y servicios web (para prevenir DoS - una sola D). Los balanceadores de carga también vienen muy bien para esto. El DoS (Denial of Service) es cuando pasa cualquier cosa en tu red o alguien explota una vulnerabilidad que hace que no se de servicio a los usuarios. El DDoS (Distributed Denial of Service) es cuando una cantidad masiva de ordenadores infectados mandan solicitudes (generalmente SYN) a un servidor. Claro, el servidor no puede con tanto y acaba cayéndose o quemándose un procesador si no tienes cuidado. Pero, si te ataca una botnet rusa de 10,000,000 de ordenadores, lo máximo que puedes hacer es con calma rezar y contactar con la compañía de internet, banear rangos de IP, cambiar IP's, en fin, perder un fin de semana. Contra el ARP Spoofing lo mismo, actualiza mucho, sobre todo los routers, ya que se basa en encontrar una debilidad en la memoria del router. Contra MITM lo primero es utilizar una buena encriptación en la red, WPA2, AES/TKIP, etc... Si la red no está encriptada, cualquier empleado aburrido recoge un par de paquetes y en una tarde le lía el Facebook a media empresa. Todo lo que te he dicho no tiene porque impactar demasiado el rendimiento de la red. FTMG está muy, muy, bién, pero pronto se acabara el soporte para todo lo que sea Forefront, asi que tendrás que buscar otro software o un Firewall de hardware.

    Espero que te haya podido ayudar y mucha suerte!

    Julian


    lunes, 04 de marzo de 2013 19:21