Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seguridad Coorporativa
Seguridad Coorporativa
qxp
4/12/11
12:13 PM
Page 71
Seguridad
corporativa
Ya conocemos los pasos necesarios
para la instalacin de servidores,
y vimos algunas pautas para configurarlos
en el dominio con Active Directory
y con las herramientas que nombramos.
Ahora veremos cmo darles seguridad
fsica y lgica. Nuestra meta
es que los equipos no sean daados
y no puedan ser modificados ni accedidos
sin los permisos correspondientes.
Polticas de seguridad
Qu son y cmo se aplican
las polticas de seguridad
Ejemplo de polticas
corporativas
Polticas avanzadas
para Windows 7 y Windows
Server 2008
Acceso a los centros
de cmputos
Seguridad fsica
en los centros de cmputos
Plan de contingencias
Normas de seguridad
Normas ISSO 9001 y 27001
ITIL y la norma ISO20000
Antivirus corporativos
Caractersticas de los antivirus
corporativos
Infraestructura de los antivirus
Firewalls corporativos
Firewalls fsicos y lgicos
Definicin de reglas
de seguridad
Resumen
Actividades
72
72
76
81
82
82
86
88
89
91
94
94
96
100
100
103
103
104
03_Adm de Servidores_AJUSTADO.qxp
4/10/11
12:07 PM
Page 72
3. SEGURIDAD CORPORATIVA
POLTICAS DE SEGURIDAD
La aplicacin de polticas de seguridad nos ayudar a tener nuestra infraestructura
controlada y con configuraciones estndar. Debemos tener en cuenta que esta prctica se encarga de complementar la seguridad brindada por las aplicaciones antivirus y firewalls, pero es igualmente necesaria. Las polticas tienen una gran variedad
de configuraciones para los servidores y los usuarios. Definiremos qu son, y veremos cmo administrarlas, aplicarlas y las nuevas caractersticas que podemos encontrar en un dominio con Windows Server 2008.
POLTICAS
Las polticas son reglas que impone la compaa a sus empleados para que utilicen el capital de
la empresa en forma correcta, ya que restringen accesos de seguridad, configuraciones e instalaciones de programas indebidos. Active Directory nos permite crear directorios de dominios en
los cuales administraremos toda nuestra infraestructura.
72
www.redusers.com
03_Adm de Servidores_AJUSTADO.qxp
4/10/11
12:07 PM
Page 73
Polticas de seguridad
PASO A PASO
Para continuar, oprima el botn derecho del mouse sobre la opcin llamada
Caractersticas del rbol y elija Agregar caractersticas.
www.redusers.com
73
03_Adm de Servidores_AJUSTADO.qxp
4/10/11
12:07 PM
Page 74
3. SEGURIDAD CORPORATIVA
NETLOGON
Es una carpeta que se publica en el controlador de dominio de Active Directory cuando se lo instala, y por lo tanto, pertenece al dominio correspondiente. A ella pueden acceder todas las mquinas de la red y todos los usuarios. Lo harn con permisos de slo lectura; los de modificacin
los tendremos nosotros, los administradores.
74
www.redusers.com
03_Adm de Servidores_AJUSTADO.qxp
4/10/11
12:07 PM
Page 75
Polticas de seguridad
75
03_Adm de Servidores_AJUSTADO.qxp
4/10/11
12:07 PM
Page 76
3. SEGURIDAD CORPORATIVA
Las polticas se aplicarn a todos los objetos que estn en la OU configurada. Por
ejemplo, la OU Argentina contiene otra OU llamada Computadoras. A todos los
objetos que tengamos en la OU Argentina se les aplicar la poltica Default Domain
Policy, al igual que en la OU Computadoras, ya que las polticas se heredan. Decimos
que las polticas estn conectadas a las OU porque hay una carpeta especial que es
el repositorio en donde se crean; luego se generan accesos directos a las OU para configurar las polticas en un determinado lugar del dominio. La carpeta se denomina
Objetos de directiva de grupo. Una vez creada una poltica, se puede conectar o desconectar de distintas OU que necesitemos. Las polticas aplicadas a una mquina
pueden chequearse desde la lnea de comandos de la siguiente manera:
C:\>GPRESULT /R
www.redusers.com
03_Adm de Servidores_AJUSTADO.qxp
4/10/11
12:07 PM
Page 77
Polticas de seguridad
de instalacin para que sean accedidos por cualquier usuario de la red. Si existe ms
de un controlador de dominio que pertenezca al mismo dominio, esta carpeta se
replicar con cada cambio que se haga, al igual que cualquier configuracin que realicemos en Active Directory. Para acceder al Netlogon y copiar un archivo, slo ser
necesario que escribamos el comando \\nombredominio.com\netlgon en el men
Inicio del sistema operativo, desde la opcin denominada Ejecutar. Podremos darnos cuenta de que se abrir la carpeta correspondiente al controlador de dominio
adecuado. Luego de realizar esta tarea, debemos proceder a crear una carpeta para
la aplicacin y, posteriormente, copiar el ejecutable.
El paquete de instalacin podr ser ledo por cualquier usuario de la red. As como
este paquete, podremos copiar el de cualquier programa. Para continuar, veremos
cmo configurar la instalacin del paquete para todas las mquinas. Debemos crear
un script de instalacin, guardarlo en la misma carpeta del Netlogon y, como ltimo paso, crear una poltica que corra el script al inicio del sistema desde la consola GPMC. El script debe crearse utilizando un editor de textos.
Crear una poltica y conectarla a una OU
PASO A PASO
www.redusers.com
77
03_Adm de Servidores_AJUSTADO.qxp
4/10/11
12:07 PM
Page 78
3. SEGURIDAD CORPORATIVA
Para continuar, ser necesario que escriba el siguiente texto en el editor de notas
del sistema operativo: @echo off. Debe tener en cuenta la necesidad de dejar un
rengln. Luego escriba (para el ejemplo que mencionamos ms arriba):
\\nombredominio.com\netlogon\carpetaaplicacion\aplicacion.exe. Por ltimo,
guarde el archivo utilizando el men adecuado.
Renombre el archivo para cambiar su extensin .TXT por .BAT o gurdelo desde
el editor de notas con esa extensin. A continuacin, muvalo para ubicarlo en la
carpeta de la aplicacin en el Netlogon.
78
www.redusers.com
03_Adm de Servidores_AJUSTADO.qxp
4/10/11
12:07 PM
Page 79
Polticas de seguridad
Vaya a la poltica recin creada y posteriormente haga clic con el botn derecho
del mouse en ella. Elija Editar para poder configurarla.
www.redusers.com
79
03_Adm de Servidores_AJUSTADO.qxp
4/10/11
12:07 PM
Page 80
3. SEGURIDAD CORPORATIVA
En este paso deber oprimir el botn Aceptar, luego de lo cual tendr que cerrar
la pantalla de edicin. En la consola posicinese donde quiera conectar la
poltica. Para todas las computadoras de escritorio, ubquese en la OU
denominada Computadoras. Para continuar, haga clic con el botn derecho del
mouse y elija la opcin Vincular un GPO existente.
80
www.redusers.com
03_Adm de Servidores_AJUSTADO.qxp
4/10/11
12:07 PM
Page 81
Polticas de seguridad
Elija la nueva poltica antes creada del listado que figura en pantalla y finalmente
haga clic sobre el botn llamado Aceptar.
Una vez que se reinicie el sistema, se comenzar a instalar la aplicacin con las
credenciales de un usuario administrador, se llamar al script y se ejecutar en
forma oculta. En todos los sistemas operativos Windows este tipo de tareas se
realiza con el usuario de sistema. Se trata de un usuario especial con privilegios
de administracin que slo puede ser manejado por el mismo sistema operativo.
Otro tipo de poltica muy utilizada, y un poco distinta de la empleada en los
procedimientos anteriores, es configurar todos los servicios de los equipos de la
empresa. Para hacerlo, debemos crear una poltica nueva que aplicaremos a todas
las mquinas. Abrimos la poltica y la editamos, luego expandimos el rbol hasta
la opcin de servicios del sistema ubicada en Configuracin del equipo/Directivas/
Configuracin de Windows/Configuracin de seguridad/Servicios del Sistema y all
modificamos los que queremos configurar. Antes de cambiar la poltica, tenemos
que probarla muy bien para que no haya problemas con la compatibilidad de
distintos sistemas de la empresa.
81
03_Adm de Servidores_AJUSTADO.qxp
4/10/11
12:07 PM
Page 82
3. SEGURIDAD CORPORATIVA
Antes, con Windows Server 2003, los scripts de las polticas de inicio de sistema utilizaban el lenguaje vbscript, y no poda emplearse Power Shell. Afortunadamente,
ahora s podemos usarlo, lo que nos otorga mayor flexibilidad y varias configuraciones que antes no podamos aplicar. Este motor de scripts puede agregarse en equipos
con Windows Server 2003 y as utilizarlo una vez que el sistema se inicia. De todos
modos, no podemos configurar una poltica de inicio con l. Otro cambio importante es que tenemos la opcin de restringir los diseos de las contraseas para distintos
tipos de usuarios. El diseo es la estructura que definimos para que una clave exista.
Antes slo podamos tener un nico diseo para todos los usuarios del dominio. Por
ejemplo, podemos establecer la longitud que deber tener, si hay que utilizar caracteres especiales, si debemos tener minsculas y maysculas, etc. Con Windows Server
2008 podemos tener distintos tipos de usuarios y configurar restricciones acordes a
cada uno. Puede servirnos, por ejemplo, si deseamos que las contraseas de usuarios
de alto nivel administrativo sean ms seguras que las de un usuario comn.
www.redusers.com
03_Adm de Servidores_AJUSTADO.qxp
4/10/11
12:07 PM
Page 83
83
03_Adm de Servidores_AJUSTADO.qxp
4/10/11
12:07 PM
Page 84
3. SEGURIDAD CORPORATIVA
Otra amenaza importante son los incendios, que pueden originarse de varias maneras,
motivo por el cual es necesario estar preparados. El piso, el techo y las paredes deben
estar creados con materiales ignfugos y no tiene que haber ningn elemento inflamable dentro del centro. Es fundamental contar con algn equipo controlador de incendios en estado latente, generalmente, mediante polvo qumico o dixido de carbono.
Como administradores, podemos adoptar como prctica la realizacin de un chequeo diario visual en el centro de cmputos, con el fin de verificar posibles alarmas
en los servidores y equipos de electricidad, controlar la temperatura y mantener el
orden. Los servidores traen indicadores que es necesario revisar, que nos dicen cuando una fuente falla, un disco est roto, una placa funciona mal, hay problemas con
un cooler o memoria RAM, etc. Si no llevamos un control, podemos encontrarnos
con un servidor fuera de lnea sin saber cul fue el origen del problema. Una buena
prctica sera llenar un formulario diario, y hacerlo llegar a todos los administradores y responsables cada da. Si vamos ms all, podemos realizar un informe de inicio de jornada y otro al finalizar, que detalle los arreglos que se realizaron y los que
quedaron por hacer. Algunos pasos para llevarlo a cabo son los siguientes:
Al iniciar el da, imprimimos un formulario y vamos hasta el centro de cmputos. Anotamos todo el control en l.
www.redusers.com
03_Adm de Servidores_AJUSTADO.qxp
4/10/11
12:07 PM
Page 85
Verificamos en primer lugar que no haya luces rojas en los servidores. Si las hay,
abrimos el panel de luces y buscamos informacin que indique la causa.
Comprobamos ahora que no haya luces naranjas en los servidores. Si las hay, buscamos otra vez las causas y completamos el formulario.
Nos dirigimos al panel de control de electricidad y en l verificamos en forma cuidadosa que no haya ningn indicador encendido.
Figura 5. Tenemos que ser muy cuidadosos al manipular este tipo de paneles,
ya que podemos quedarnos electrocutados o dejar sin luz a gran parte de la compaa.
EQUIPOS DE REFRIGERACIN
Debemos tener en cuenta que los equipos de refrigeracin se encargan de bajar la temperatura
emitida por los servidores dentro de la sala del centro de cmputos y de esta forma la mantienen
a unos 22 C. Un aspecto importante es que conservan un flujo constante de aire que circula desde
el frente de los racks hacia la parte posterior.
www.redusers.com
85
03_Adm de Servidores_AJUSTADO.qxp
4/10/11
12:07 PM
Page 86
3. SEGURIDAD CORPORATIVA
Plan de contingencias
Continuando con la introduccin que hicimos en el Captulo 2, detallaremos un
poco ms lo que es un plan de contingencias y qu aspectos debemos tener en cuenta. Bsicamente, el plan de contingencias nos dice qu hacer en caso de que ocurra
86
www.redusers.com
03_Adm de Servidores_AJUSTADO.qxp
4/10/11
12:07 PM
Page 87
una situacin no deseada. Tiene que contener todas las tareas que debemos realizar para que el centro de cmputos vuelva a su estado original y operativo. El plan
contempla posibles incendios, catstrofes, cortes de luz, sabotajes, etc. La capacidad para recuperarse exitosamente de un desastre en un corto perodo es crucial
para el negocio. Hay empresas que, al no tener un plan de contingencias, tardan
aos en recobrarse operativamente, con las correspondientes prdidas econmicas,
del negocio y, posteriormente, quiebra.
Replicar el centro de cmputos es lo mejor que podemos hacer, siempre y cuando
la rplica se encuentre en un lugar alejado, para que no sufra las mismas causas de
desastre. Pero ste es un detalle de seguridad fsica; el plan de contingencias viene a
decirnos los pasos que debemos seguir para que el cambio sea satisfactorio. Nos
indica qu palanca mover, hacia dnde y el tiempo que tenemos para hacerlo. El
plan de contingencias, generalmente, se extiende del plan general de la empresa.
Indica las salidas de emergencia, la ubicacin de los manuales de emergencia, los
procedimientos por seguir, los responsables y los telfonos a donde llamar. Podramos hacerlo teniendo en cuenta los siguientes puntos:
Pensar en los posibles desastres que pueden ocurrir e identificar los riesgos que la
empresa afrontara en caso de que sucediera alguno. Luego, evaluar las prdidas
econmicas, y realizar estadsticas y grficos.
Aplicar los conocimientos sobre los sistemas de la empresa, y jerarquizar las aplicaciones en crticas y no crticas.
Establecer los requerimientos de recuperacin. Tomar nota de todo lo necesario y
los pasos por seguir con cada sistema. Luego, generar documentacin clara.
Implementar el plan de contingencias, realizar pruebas y simulacros para verificar
que los procedimientos son los indicados antes de que sea tarde.
Difundir el plan de contingencias en la empresa mediante comunicaciones masivas e indicadores. Por ltimo, ser necesario planificar en detalle un mantenimiento y chequeo del plan cada cierto tiempo.
La ejecucin y puesta a punto del plan de contingencias es responsabilidad nuestra y de toda la empresa. Por eso, debemos asegurarnos de que haya una buena
ESTADSTICAS DE DESASTRES
Se sabe que las causas ms comunes de los desastres son el terrorismo, los incendios y los
huracanes. Imaginemos por un instante perder todos los datos de la compaa para siempre
o perder las comunicaciones de la empresa durante semanas. Debemos ser conscientes de estas posibles amenazas y actuar antes de que ocurran.
www.redusers.com
87
03_Adm de Servidores_AJUSTADO.qxp
4/10/11
12:07 PM
Page 88
3. SEGURIDAD CORPORATIVA
NORMAS DE SEGURIDAD
En esta seccin veremos normas que estn en el mercado y nos permiten certificarnos en calidad (ISO9001), en seguridad (ISO27001) y en buenas prcticas
(ISO20000). ITIL no es una certificacin propiamente dicha, pero las empresas
estn aplicando los procedimientos descriptos como tal. Estas prcticas provienen del
Reino Unido. A continuacin, analizaremos las normas ISO20000 e ISO15000, que
tienen una certificacin valedera y se basan en procedimientos de ITIL.
SISTEMAS SGSI
El Sistema de Gestin de la Seguridad de la Informacin (SGSI) sirve para el diseo, la implantacin y el mantenimiento de un conjunto de procesos tendientes a gestionar eficientemente la
accesibilidad de la informacin, buscando asegurar confidencialidad, integridad y disponibilidad
de los activos de informacin, a la vez que minimiza los riesgos de seguridad.
88
www.redusers.com
03_Adm de Servidores_AJUSTADO.qxp
4/10/11
12:07 PM
Page 89
Normas de seguridad
Figura 8. Sello con el que debera contar nuestra empresa para ofrecer calidad
en los productos. Nuestro sector tambin puede tener este sello para distinguirnos dentro
de la organizacin y que los usuarios confen ms en los servicios brindados.
Tanto esta norma como las otras, de las cuales hablaremos ms adelante, pueden
servir a la empresa para trabajar mejor o, en muchos casos, como parte de su plan
de marketing. Algunas compaas slo certifican determinados departamentos o
productos especficos, y no, la organizacin en su integridad. Esto las ayuda a tener
www.redusers.com
89
03_Adm de Servidores_AJUSTADO.qxp
4/10/11
12:07 PM
Page 90
3. SEGURIDAD CORPORATIVA
mejores ventas con una buena campaa publicitaria, sin realizar el gran esfuerzo que
implica certificar todos y cada uno de los procedimientos.
Pero nosotros tenemos que enfocarnos en lo que estas normas significan para la
administracin de servidores. La norma ISO9001 nos da una gran ayuda para mantener una gua de calidad en nuestro trabajo. Aplicarla hasta los lmites que podamos hacerlo seguramente nos gratificar tarde o temprano.
La norma ISO9001:2008 se compone de ocho captulos:
CAPTULO
DESCRIPCIN
II
Normativas de referencia
III
Trminos y definiciones
IV
Sistema de gestin
Responsabilidades de la Direccin
VI
VII
VIII
Aplicar la norma en la empresa es una carta de presentacin al mundo, significa decirle que tenemos calidad en lo que hacemos. La aplicacin nos otorga una mejora en
toda la documentacin, nos asegura que la informacin se actualice y sea efectiva,
reduce los costos y disminuye la cantidad de procesos.
La norma 27001 gestiona la seguridad. Se basa en un Sistema de Gestin de la Seguridad de Informacin, tambin conocido como SGSI. Este sistema, bien implantado
en una empresa, nos permitir hacer un anlisis de los requerimientos de la seguridad
de nuestro entorno. Con ellos, podremos crear procedimientos de mantenimiento y
puesta a punto, y aplicar controles para medir la eficacia de nuestro trabajo. La
norma contempla cada uno de estos requisitos y nos ayuda a organizar todos los
procedimientos. Todas estas acciones protegern la empresa frente a amenazas y
riesgos que puedan poner en peligro nuestros niveles de competitividad, rentabilidad y conformidad legal para alcanzar los objetivos planteados por la organizacin.
90
www.redusers.com
03_Adm de Servidores_AJUSTADO.qxp
4/10/11
12:07 PM
Page 91
Normas de seguridad
Seguridad organizativa
Seguridad lgica
Seguridad fsica
Seguridad legal
Poltica de Seguridad
Organizacin de la
seguridad de la informacin
Gestin de activos
Control de acceso
accesos
Operativo
Conformidad
Seguridad fsica
y del entorno
Gestin de
incidentes de seg.
de la informacin
Gestin de la
continuidad
del negocio
Seguridad en los
Recursos Humanos
Gestin de
comunicaciones
y operaciones
Adquisicin, desarrollo
y mantenimiento de
sistemas de informacin
Nuestro objetivo al aplicar esta norma tiene que ser asegurar la confidencialidad,
integridad y disponibilidad de la informacin para nuestros empleados, clientes y
cada persona que intervenga en el negocio. La aplicacin no slo expresa nuestras
buenas prcticas en la materia, sino que tambin nos ayuda con ciertos requerimientos legales de nuestra legislacin. Obviamente, la legislacin depender del
gobierno de cada pas, pero a grandes rasgos, nos ayuda con leyes de proteccin de
datos personales, de inspeccin y de control, y tambin en juicios, en los que casi
siempre se solicitan datos histricos.
91
03_Adm de Servidores_AJUSTADO.qxp
4/10/11
12:07 PM
Page 92
3. SEGURIDAD CORPORATIVA
Mejora Continua
del Servicio
Operacin
del Servicio
Diseo
del Servicio
Estrategia
del Servicio
ITIL
Mejora Continua
del Servicio
Transicin
del Servicio
Mejora Continua
del Servicio
La ISO20000 fue publicada en diciembre del ao 2005. Nos permite concentrarnos en una gestin de problemas de tecnologa de la informacin mediante el uso
de un planteamiento de servicio de asistencia. Tambin controla la capacidad del
sistema, los niveles de gestin necesarios cuando ste cambia, la asignacin de presupuestos, y el control y la distribucin del software.
Debemos tener en cuenta que la norma se divide en tres partes: la primera se encarga de realizar la definicin de los requisitos necesarios para disear, implementar y
mantener la gestin de servicios IT de una empresa; la segunda nos ensea cules
son los mejores procedimientos para los procesos de gestin de servicios, las mejores prcticas codificadas segn el mercado; y por ltimo, la tercera parte es una gua
sobre el alcance y la aplicabilidad de la norma correspondiente. En la primera, los
requisitos pueden detallarse como se indica a continuacin:
92
www.redusers.com
03_Adm de Servidores_AJUSTADO.qxp
4/10/11
12:07 PM
Page 93
Normas de seguridad
Actualmente, se est realizando una revisin para alinear la norma con la ITIL v3,
por lo que se est trabajando en dos partes ms: una trata el modelo de procesos
de referencia de gestin de servicios, que describe cmo se establecen las bases del
modelo de madurez y el marco de evaluacin; y la quinta y ltima requiere un
ejemplar del plan de implementacin para la norma; es la presentacin de
un ejemplar final de todas las tareas por realizar.
PARTES
DESCRIPCIN
Especificaciones
II
III
IV
93
03_Adm de Servidores_AJUSTADO.qxp
4/10/11
12:07 PM
Page 94
3. SEGURIDAD CORPORATIVA
Figura 11. Nos ponemos de acuerdo con la entidad certificadora para realizar
la primera auditora. El da indicado, realizamos la auditora de la mejor manera posible.
Podran incluirse dos pasos ms, que seran la auditora de seguimiento anual y la
renovacin cada tres aos, pero eso estara fuera del proceso.
ANTIVIRUS CORPORATIVOS
Las mquinas de escritorio podran ser las primeras en infectarse con un virus y
podran originar un ataque masivo a nuestra red. Entonces, los servidores y la continuidad del negocio sin duda se veran afectados. Los antivirus corporativos son
una evolucin de los comunes, usados fuera de una red empresarial. Tienen una
configuracin centralizada y varios mdulos que detallaremos a continuacin.
www.redusers.com
03_Adm de Servidores_AJUSTADO.qxp
4/10/11
12:07 PM
Page 95
Antivirus corporativos
Figura 12. El sitio nos permite ver todas las opciones de productos
y elegir el que mejor se adapte a nuestra empresa, segn su tamao.
Estos antivirus nos aseguran tener una administracin centralizada. Habr un servidor central, que administre los clientes instalados en servidores y mquinas de escritorio. Los clientes, al querer actualizarse, buscarn las actualizaciones adecuadas en el
servidor central de la empresa antes de hacerlo en Internet. Es posible dar acceso a
Internet tambin, pero si slo permitimos que se actualicen mediante nuestro servidor, nos aseguraremos de que todas las mquinas tengan las mismas versiones de
defensa, y podremos analizar un problema o una intrusin con ms facilidad. Los
clientes reportarn todos sus detalles al servidor central, tendremos informes
de posibles ataques, informes de programas instalados que puedan poner en riesgo
el accionar de la compaa y de programas inseguros que debern ser desinstalados.
Si la seguridad de la empresa depende de nosotros, es fundamental estar muy
www.redusers.com
95
03_Adm de Servidores_AJUSTADO.qxp
4/10/11
12:07 PM
Page 96
3. SEGURIDAD CORPORATIVA
www.redusers.com
03_Adm de Servidores_AJUSTADO.qxp
4/10/11
12:07 PM
Page 97
Antivirus corporativos
Symantec
Security
Response
Internet
Router
Firewall
Conmutador/Hub
Cliente A
Cliente B
Cliente C
Symantec Endpoint
Protection Manager
Clientes
Clientes
Switch
Switch
Symantec Endpoint
Protection Manager
2
Switch
Al instalar Symantec en la forma que muestra la Figura 15, podremos tener balanceo
de carga y control de errores, por si uno de los servidores falla.
www.redusers.com
97
03_Adm de Servidores_AJUSTADO.qxp
4/10/11
12:07 PM
Page 98
3. SEGURIDAD CORPORATIVA
PASO A PASO
98
www.redusers.com
03_Adm de Servidores_AJUSTADO.qxp
4/10/11
12:07 PM
Page 99
Antivirus corporativos
Haga clic en Add para programar un nuevo reporte. Complete el nombre, una
breve descripcin, elija cada cunto se va a repetir, e indique una fecha de inicio
y un filtro en la lista desplegable Use a saved filter.
www.redusers.com
99
03_Adm de Servidores_AJUSTADO.qxp
4/10/11
12:07 PM
Page 100
3. SEGURIDAD CORPORATIVA
FIREWALLS CORPORATIVOS
Segn estadsticas del IDC (International Data Corporation), el FBI (Federal Bureau
of Investigation), la CIA (Central Intelligence Agency) y de varios organismos ms, el
98% de las empresas cuenta con algn sistema de firewall. Los firewalls son las
puertas de entrada a nuestra empresa, por lo que debemos controlar el acceso de la
manera adecuada, como controlamos el ingreso a nuestra casa. A continuacin,
conoceremos detalles de los firewalls lgicos y los fsicos. Ms adelante veremos
cmo definir reglas de administracin en ellos.
www.redusers.com
03_Adm de Servidores_AJUSTADO.qxp
4/10/11
12:07 PM
Page 101
Firewalls corporativos
puede utilizar como gateways (puertas de enlace) entre distintas redes. Los gateways interconectan redes con protocolos y arquitecturas diferentes. Traducen la
informacin utilizada en un protocolo de red al usado en otra. Los protocolos
emplean puertos que habilitaremos y deshabilitaremos dependiendo de lo que
permitamos que se haga en la red. Cada aplicacin utiliza determinados protocolos. Por ejemplo, Internet usa el HTTP y los puertos 80 y 8080, las aplicaciones
de FTP utilizan el puerto 21, el servicio de correo electrnico que trabaja con el
protocolo POP3 usa el puerto 110, etc.
Veamos un ejemplo que nos permitir entender mejor todos estos conceptos.
Hagamos una analoga entre la comunicacin entre dos mquinas y una terminal
de mnibus. En la terminal (computadora) vemos 65.535 andenes numerados
(puertos de la computadora), cada uno perteneciente a una empresa distinta de
viajes (protocolo de comunicacin). Si nosotros (en la analoga seramos un dato
que quiere viajar de una mquina a otra) utilizamos para viajar una empresa X
(Internet, por ejemplo), sabemos que sta tiene el andn 80, que es el que debemos utilizar. Nuestros destinos sern otras terminales de mnibus (otras mquinas). Entonces, nuestro viaje saldr por el andn 80 y llegar a la otra estacin,
tambin al andn 80. All esperamos a ser transportados (sos son los puertos que
el administrador debe dejar abiertos para esa aplicacin). Ahora, si uno de los
mnibus de la empresa X quiere entrar por el andn 4593, el oficial de seguridad
de la terminal (firewall) no se lo permitir (este puerto estar deshabilitado para
ese protocolo), porque lo utilizar otra empresa o no tendr uso. El firewall es ese
oficial de nuestra terminal de ejemplo. Sin la seguridad del firewall, el trfico sera
un caos, y cualquier paquete de informacin podra llegar a cualquier puerto de
nuestro servidor y, as, entrar sin permiso a la red.
Este tipo de firewalls son fsicos (hardware). Pueden bloquear conexiones por puertos o direcciones de IP o MAC, pero no, una mquina que cambia de direccin IP
constantemente. Entonces, si dentro de un protocolo HTTP queremos bloquear
todas las conexiones a los sitios que contengan la palabra virus, los firewalls fsicos
podrn bloquear slo direcciones de IP, por lo que tendremos que cargar continuamente direcciones por ser bloqueadas segn una bsqueda previa. Es all donde nos
encontramos con los firewalls lgicos, que trabajan a nivel de aplicacin, dentro de
GENERACIONES DE FIREWALLS
Debemos saber que los firewalls fsicos son considerados de primera generacin, y los lgicos,
de segunda generacin. Los primeros son ms especializados en el filtrado de paquetes, pero
los segundos tambin pueden realizar esta tarea en forma correcta. En la actualidad, las empresas utilizan ambas soluciones en forma combinada.
www.redusers.com
101
03_Adm de Servidores_AJUSTADO.qxp
4/10/11
12:07 PM
Page 102
3. SEGURIDAD CORPORATIVA
cada protocolo. Entonces, para bloquear estos sitios, precisamos configurar una
regla que nos diga que se cierren todas las conexiones en donde el nombre del
sitio por conectar contenga la palabra virus. Tengamos en cuenta que, hoy en da,
tambin los firewalls fsicos pueden cumplir funciones avanzadas y actuar como
lgicos. Un gran ejemplo de firewall lgico es el ISA Server (Internet Security and
Acceleration Server), de Microsoft. Actualmente, pertenece a la solucin integral
de seguridad de Microsoft llamada Forefront, por lo que el producto cambi de
nombre y se conoce como Forefront TMG. ste, como tantos otros firewalls
lgicos, es utilizado como proxy para la red de la empresa. Los proxys son programas o dispositivos que realizan una accin en nombre de otro. Son intermediarios de comunicacin, y es ah donde acta el firewall. Los dispositivos de
nuestra red no se conectan directamente a Internet, sino que lo hacen a travs del
proxy. ste, a su vez, estar conectado a un firewall fsico para blindar el acceso a
la empresa. No slo da control a la red, sino que tambin brinda velocidad, ya
que funciona con una memoria cach para el trfico.
Desired Internet Connectivity
Internet
Switch
Servidor
PC
PC
PC
AV
AV
AV
AV
Estacin de trabajo
www.redusers.com
03_Adm de Servidores_AJUSTADO.qxp
4/10/11
12:07 PM
Page 103
Firewalls corporativos
RESUMEN
Al principio del captulo conocimos qu son las polticas y cmo configurarlas, y tambin vimos
qu nos traen de nuevo las ltimas plataformas de Microsoft. Luego, vimos detalles sobre los
centros de cmputos y entendimos cmo se vera afectada la continuidad del negocio si se produjera algn desastre. Por eso, aprendimos a estar preparados haciendo un plan de contingencias acorde. Conocimos tambin qu son las normas dentro de nuestra administracin,
cules son las ms importantes y, para finalizar, detallamos la seguridad a nivel antivirus corporativo y aplicacin de firewalls.
www.redusers.com
103
03_Adm de Servidores_AJUSTADO.qxp
4/10/11
12:07 PM
Page 104
ACTIVIDADES
TEST DE AUTOEVALUACIN
EJERCICIOS PRCTICOS
las polticas?
3 Detalle las caractersticas de los nueve
3 Describa los elementos que pueden encon-
libros de ITIL.
empresa.
5 Investigue las ventajas y desventajas de
tener una poltica restrictiva o permisiva
en los firewalls.
104
www.redusers.com