Defensa en profundidad (Defense in Depth)

Defensa en profundidad (Defense in Depth) es una iniciativa que pretende aislar en capas y dividir en diferentes
áreas las instalaciones con el propósito de hacer más difícil el acceso a nuestro último bastión, es decir, los
servidores donde se contiene nuestra información.

Podríamos hacer la analogía con un Banco, donde nuestra información vendría a ser el dinero contenido en una
bóveda. Para protegerlo desde la entrada ya vemos medidas de seguridad tales como barreras antigolpes de
automóviles, cámaras, guardias, un área pública que podría ser la (DMZ). Mientras más nos acercarnos a la
bóveda los controles se acentúan…

A continuación, algunas recomendaciones que nos propone DiD (Defense in Depth) en MSAT (Microsoft
Assessment Tool) herramienta que, a través de un cuestionario, crea una pequeña línea base del estado de la
organización, en algunos tópicos básicos de seguridad.

1- Firewalls

Representan un mecanismo de defensa inicial que debe abarcar toda la red. Las reglas que se apliquen a los
firewalls deben ser altamente restrictivas y establecerse por host y servicio.
Al crear las reglas para los firewalls y las listas de control de acceso (ACL) de los routers, céntrese en primer
lugar en proteger los dispositivos de control de acceso y la red frente a posibles ataques.

Asegúrese de que los datos sigan fluyendo mediante la utilización de ACL de red y las reglas para los firewalls.

Compruebe el funcionamiento de las reglas para los firewalls y las ACL de los routers para determinar si las
reglas contribuyen a ataques de negación de servicio (Denial of Service, DoS).

Utilice uno o varios DMZ como parte del desarrollo sistemático y formal de firewalls.
Sitúe en esa ubicación todos los servidores a los que se puede acceder por Internet. Limite la conectividad de
los DMZ.

2- Antivirus

Utilice soluciones antivirus en todo el ambiente: tanto en los servidores como en las computadoras de
escritorio.
Utilice soluciones antivirus especializadas para tareas específicas, como detectores de virus para servidores de
archivos, herramientas de análisis de contenido y detectores de carga y descarga de datos.

Configure las soluciones antivirus para que detecten virus que entren o salgan del sistema.
Estas soluciones deben instalarse primero en los servidores de archivos críticos y, a continuación, en los
servidores de correo, de base de datos y de red.
En el caso de las computadoras portátiles y de escritorio, debe implementar una solución antivirus en el
ambiente predeterminado.

Página 1 de 6
Si utiliza Microsoft Exchange, utilice las funciones adicionales de antivirus y los filtros de contenido para los
buzones de correo.

3- Redes privadas virtuales (VPN)

Utilice una VPN entre el perímetro de la red y los segmentos de red internos que necesiten más seguridad.
Utilice una VPN para asegurar los protocolos de texto sin encripción de los ambientes en los que se pueda
detectar o modificar el tráfico de datos.

Para los usuarios remotos, debe usar una VPN que requiera autenticación de factores múltiples y que utilice
tecnologías IPSEC, SSL y SSH para suministrar conectividad a los recursos necesarios de la red corporativa
utilizando las reglas de control de acceso por usuario. Realice auditorías periódicas de la lista de acceso de los
usuarios para el dispositivo VPN.

Puede limitar el acceso administrativo del dispositivo VPN para que quede exclusivamente dentro de la red
corporativa.

4- Segmentación

Utilice segmentaciones para separar el acceso a extranets específicas para fabricantes, socios o clientes.
Cada segmentación externa de la red debe permitir que el tráfico sólo se dirija a los hosts y puertos de
aplicaciones determinadas que proporcionan servicios a los clientes.

Asegúrese de que existan controles de red que permitan sólo el acceso necesario para cada conexión de
terceros.

Limite el acceso de los servicios de red suministrados, así como el acceso entre los segmentos de red.

5- Contraseñas Complejas para Usuarios Administrativos

Ponga en práctica una política estricta para las cuentas administrativas mediante el uso de contraseñas
complejas que cumplan estas condiciones:
Alfanumérica; mayúsculas y minúsculas; contiene al menos un caracter especial; contiene como mínimo 14
caracteres.

Para limitar más los riesgos de ataques a las contraseñas, ponga en práctica los controles siguientes:

– Vencimiento de contraseñas
– Bloqueo de la cuenta después de entre 7 y 10 intentos de registro fallidos
– Registro del sistema

Además de las contraseñas complejas, puede recurrir a la autenticación de factores múltiples.

Utilice controles avanzados para la administración de las cuentas y el registro de acceso a las cuentas (no
permita que se compartan cuentas).

Página 2 de 6
6- Contraseñas complejas para usuarios estándar

Para las cuentas de usuarios, ponga en práctica una política que exija el uso de contraseñas complejas que
cumplan estas condiciones:

– Alfanumérica
– Mayúsculas y minúsculas
– Contiene al menos un caracter especial
– Contiene como mínimo 8 caracteres
Para limitar más los riesgos de ataques a las contraseñas, ponga en práctica los controles siguientes:

– Vencimiento de contraseñas
– Bloqueo de la cuenta después de 10 intentos de registro fallidos
– Registro del sistema
Además de las contraseñas complejas, puede recurrir a la autenticación de factores múltiples.

Utilice controles avanzados para la administración de cuentas y el registro de acceso a las cuentas (no permita
que se compartan cuentas).

7- Contraseñas complejas para usuarios de acceso remoto

Ponga en práctica controles de contraseñas complejas para todos los usuarios de acceso remoto,
independientemente de si el acceso se concede mediante tecnologías de marcación telefónicas o VPN.
Se considera que una contraseña es compleja si cumple estas condiciones:

– Alfanumérica
– Mayúsculas y minúsculas
– Contiene al menos un caracter especial
– Contiene como mínimo 8 caracteres

Ponga en práctica otro factor más de autenticación para las cuentas de acceso remoto.

Si lo desea, también puede utilizar controles avanzados para la administración de cuentas y el registro de acceso
a las cuentas (no permita que se compartan cuentas).

Con respecto al acceso remoto, resulta especialmente importante proteger el ambiente mediante políticas
estrictas de administración de cuentas, prácticas seguras de registro y funciones para detectar incidentes.

Para limitar aún más los riesgos de ataques de fuerza bruta a las contraseñas, puede poner en práctica los
controles siguientes:

– Vencimiento de contraseñas
– Bloqueo de la cuenta después de entre 7 y 10 intentos de registro fallidos
– Registro del sistema

Página 3 de 6
Para los servicios de acceso remoto también deben considerarse los sistemas que se utilizarán para acceder a
la red o a los hosts.

Por tanto, podría resultar conveniente controlar los hosts con acceso remoto a la red.

8- Contraseñas complejas

La utilización de contraseñas complejas es un elemento fundamental para la defensa a profundidad.

Las contraseñas complejas deben tener de 8 a 14 caracteres e incluir caracteres alfanuméricos y especiales.
Debe establecer una longitud mínima, un mantenimiento del historial, una duración límite y un plazo de
vencimiento para reforzar la defensa.

Generalmente, el vencimiento de las contraseñas debe configurarse de la siguiente forma:

– Duración máxima de 90 días

– Las cuentas nuevas deben cambiar la contraseña al inicio de la sesión
– Un historial de 8 contraseñas (mínimo de 8 días)

Además de las contraseñas complejas, la autenticación de factores múltiples es muy importante, especialmente
para las cuentas administrativas y de usuarios remotos.
En todas las cuentas de usuario, se debe activar un proceso de bloqueo de cuenta tras 10 intentos de registro
fallidos.

Los controles para bloquear una cuenta pueden variar; algunos sencillamente se dedican a los ataques de fuerza
bruta a las contraseñas y otros requieren que un administrador desbloquee la cuenta.

Se aconseja activar el bloqueo en las cuentas administrativas, al menos para acceder a la red. Esto no permitirá
que la cuenta se bloquee desde la consola, solamente desde la red
Es posible que esta solución no sea adecuada para todas las empresas, particularmente aquellas con sitios
remotos.
En tales casos, lo más adecuado es que un administrador desbloquee la cuenta, de este modo que se evita que
los ataques pasen desapercibidos durante un largo tiempo si no se dispone de otros medios para detectar fallas
de autenticación.

Cuando se pongan en práctica controles de bloqueo de cuenta, siga las normas siguientes:

– Bloqueo de las cuentas administrativas y de acceso remoto después de 7 a 10 intentos de inicio de sesión
erróneos.

– Bloqueo de las cuentas de usuarios regulares tras al menos 10 intentos de inicio de sesión erróneos.

– Requerir la intervención de un administrador para desbloquear las cuentas de acceso remoto y de

administrador, y para reactivar automáticamente las cuentas de usuarios estándar al cabo de 5 minutos.

9- Creación de contraseñas para administradores

Página 4 de 6
Por lo general, las limitaciones para crear contraseñas de administradores deben ser más estrictas que las que
se aplican a las cuentas normales.
En Windows, debe crear contraseñas de 14 caracteres alfanuméricos que incluyan caracteres especiales para
las cuentas administrativas (y las cuentas de servicio).

10- Paquetes de administración

Cuando se utilizan paquetes de administración, debe robustecer y asegurar físicamente las consolas
administrativas.
Debe robustecer las terminales de trabajo de administración que controlan los servidores y dispositivos de la
red.

Use conexiones SSH o VPN para proteger los protocolos de texto sin encripción.
Las terminales de trabajo de administración deben estar dedicadas a administradores de red y hosts específicos.
Pruebe todos los sistemas de administración que utilizan SNMP para asegurarse de que tengan los parches más
recientes y que no utilicen cadenas de conexión automáticas de la comunidad.

Los sistemas compartidos no almacenan datos de administración específica.

Las terminales de trabajo compartidas no se pueden usar para administrar hosts ni dispositivos de red.

11- Archivo con la bitácora del uso

Los archivos con la bitácora del uso se configuran para que graben las actividades planificadas sin sobrescribir
entradas.
Debe establecer un proceso automático de rotación de los archivos con la bitácora del uso cada día, así como
la descarga de los archivos a un servidor seguro en la red de administración.

Limite el acceso a los parámetros configurados y a los archivos con la bitácora del uso para evitar que sean
modificados o eliminados.

Los archivos con la bitácora del uso se deben revisar periódicamente para detectar actividades sospechosas o
anómalas.

La revisión debe extenderse al funcionamiento, mantenimiento y a la seguridad de los sistemas.

Para sacar más partido de esta revisión, debe utilizar un software de correlación de eventos y de análisis de
tendencias.

12- Proceso de creación para parches

 Mantenga procesos de armado mediante los parches y configuraciones cerradas recomendadas del
fabricante.
 Compruebe este proceso periódicamente.
 Utilice procedimientos para robustecer los hosts con el objeto de corregir y configurar correctamente
Çlos servicios y las aplicaciones de cada host.
 Desactive todos los servicios y las aplicaciones que no necesite.

Página 5 de 6
 Deben robustecerse las terminales de trabajo instalando los parches recomendados, retirando también todos
los paquetes y servicios que no sean necesarios y evaluando los permisos de los archivos.
Incluya medidas de robustecimiento de los hosts en los procedimientos estándar de creación de terminales de
trabajo.

13- Terminales de trabajo

Las terminales de trabajo son un elemento fundamental en la defensa de cualquier ambiente, sobre todo si hay
usuarios remotos o itinerantes que se estén conectando.

Herramientas como firewalls particulares, antivirus y software de acceso remoto son imprescindibles en todas
las terminales, donde deberán configurarse correctamente.

Ponga en práctica un procedimiento que exija una revisión periódica de estas herramientas para asegurarse de
que la configuración refleje los cambios en las aplicaciones y los servicios usados y que, al mismo tiempo,
garantice la solidez de la terminal de trabajo ante los ataques.

Página 6 de 6