Hay veces que el proteger una red de accesos inadecuados desde el exterior no es suficiente. Sin una adecuada política de seguridad interna, una vez que un gusano o un hacker haya vulnerado la protección de acceso tendrá vía libre para pasearse por toda la red. Un ejemplo de esto se ha visto cuando, durante los recientes episodios del MSBlaster, redes convenientemente aseguradas hacia Internet con firewalls, antivirus perimetrales e IDS, se vieron inundadas con el gusano introducido por un portátil infectado.

Cuando nos planteamos la protección de una red frente a intrusiones, siempre pensamos en la protección del perímetro de la red, de la parte que, conectada a Internet o a otras redes externas, queda visible para el resto del mundo y, por lo tanto, se hace más apetecible para el ataque por parte de crackers o de gusanos. Así, instalamos firewalls que limiten el tipo de tráfico que permitimos que entre y salga de nuestra red; proxies y filtros de contenido que limiten y registren el uso del acceso a Internet por parte de los usuarios; antivirus perimetrales en los servidores de correo y proxies; y IDS (detectores de intrusiones) que nos avisen de posibles ataques para que podamos reaccionar ante los mismos.

Con esto creemos estar protegidos de ataques a nuestra red interna. Pero como demuestran las estadísticas, una gran parte de los ataques proviene de nuestra propia red interna. Un usuario interno malicioso puede abrirse camino fácilmente hacia la información sensible (contabilidad, nóminas, secretos industriales) contenida en los servidores de nuestra empresa. E incluso un usuario sin mala intención puede, inadvertidamente, poner en peligro nuestra red al introducir un disco infectado o un portátil comprometido que libere un gusano en el espacio interno. De esta forma, muchas redes adecuadamente protegidas frente a ataques externos cayeron en las garras del MSBlaster.

Para evitar esto, es necesario que diseñemos, implementemos y forcemos el uso de una adecuada política de seguridad interna. Esta política debe incluir temas como los siguientes:

  • Definición precisa de grupos de usuarios y de los derechos y accesos que corresponden a cada uno.
  • Limitación de acceso a la información. Cada almacén debe poder ser visto sólo por quienes necesiten acceder a él.
  • Política de contraseñas. Se debe crear una política de cambio periódico de contraseñas y, además, forzar que estas tengan una mínima complejidad. Pero no debe exagerarse en esta medida, o al final se conseguirá que los usuarios apunten las contraseñas, en lugar de aprendérselas. Una buena alternativa a este problema es el uso de medios adicionales de identificación del usuario, como tarjetas «smartcard» o métodos biométricos, como lectores de huellas digitales o de iris.
  • Instalación de firewalls internos. Dividiendo en zonas la red y limitando el tráfico entre las mismas, impediremos que un gusano se propague de forma incontrolada y limitaremos el impacto de las agresiones de crackers.
  • Instalación de firewalls y antivirus en servidores y equipos de escritorio. Esta puede ser la última línea de defensa frente a un ataque. En general, al escritorio no se le debe permitir accesos externos, actuando sólo como cliente o, como mucho, permitir acceso desde los puestos del administrador de red, para soporte y mantenimiento. En los servidores sólo se debe permitir el acceso a los puertos necesarios para cumplir su función, bloqueando otros potencialmente peligrosos. En los antivirus se debe forzar las actualizaciones periódicas (mejor diarias). Para ello, especialmente en el caso de redes con un gran volumen de equipos, es conveniente descargar las actualizaciones a un servidor interno y forzar la actualización del antivirus desde ahí.
  • Política de actualizaciones y parches de seguridad. No se debe, en ningún caso, descuidar la instalación de estos parches, tanto en los servidores como en los equipos de escritorio. Es conveniente, para reducir la carga de trabajo de los administradores, que esta actualización sea automática, bien mediante scripts programados o mediante programas específicos. Como en el caso del antivirus, es aconsejable un servidor central en la red que se descargue estos parches para la posterior distribución interna. En el caso de sistemas de Microsoft, existe un producto gratuito para esta tarea, el SUS (software update server).
  • Uso de logs de seguridad e IDS. La activación de las auditorias de seguridad, tanto en los escritorios como en los servidores, y su archivo y proceso en un punto centralizado es fundamental para comprobar que todo va bien en nuestra red. Es, asimismo, interesante la colocación de sensores para el IDS en puntos estratégicos de nuestra red, como pueden ser los switches o los routers. Y, por supuesto, el software que nos permita tratar estos datos y generar las alertas.
  • Y, como bote salvavidas, las copias de seguridad. Es fundamental, por un lado, concienciar a los usuarios del almacenamiento de los datos en puntos centralizados, como pueden ser los servidores de archivos o los NAS (network attached storage) o dispositivos de almacenamiento en red. Y, por otro, una adecuada política de copias de seguridad, a ser posible automatizada, y previendo el almacenamiento periódico externo de copias de los datos, para evitar pérdidas en caso de catástrofe (incendio, robo, …)

No solo es necesario implementar todos estos puntos, sino que, además, deben ser documentados adecuadamente y auditados con periodicidad, para confirmar que nuestro sistema de seguridad funciona adecuadamente.

Una vez protegida de esta forma la red interna, y añadido a la protección del perímetro de la red, no solo estaremos protegiendo el bien más valioso de nuestra empresa, la información, sino que además facilitaremos el cumplimiento de normas legales, como la Ley Orgánica de Protección de Datos Personales, que, en distintos artículos, nos obliga a cumplir con todas o parte de estas medidas.

Fuente: INFOHACKERS