Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seguridad ambiental: el área debe de estar alejada de la humedad, calor extremo, zonas
con cargas eléctricas fuertes o campos magnéticos altos, lugares de paso constante,
instalaciones eléctricas improvisadas o en malas condiciones, es muy importante contar
con sistemas contra incendios en las áreas de servidores que estén basadas en sistemas
en seco ya sean polvos o gases y sistemas de medición te temperatura y humedad.
Control de acceso: nos referimos al acceso a la información, nadie ajeno debe ver las
carpetas de la empresa o la información de nuestros compañeros, para esto se tienen
varias medidas a tomar el primero es cerrar todos los puertos del servidor dejando solo
los indispensables, todos los elementos compartidos tienen que estar restringidos a los
usuarios del dominio que estén registrados, debe contar con antivirus y firewall, en
algunas ocasiones se ponen equipos dedicados a este fin, los cuales son muy buenos,
además llevan el control de acceso a usuarios.
Bases firmes: los sitios designados para instalar los servidores deben estar bien
anclados, ya sean racks o charolas, es importante asegurarse que estén aterrizados,
sujetos al piso y muros, perfectamente armados y que no tengan juego alguno, el piso de
preferencia debe ser antiestático, y modular para hacer cableados limpios, al igual que el
techo de preferencia modular y de materiales antiestáticos y ligeros.
Sistemas de notificación: es vital contar con sistemas de notificación vía SMS, correo
electrónico, telefónicamente e incluso sistemas audibles en caso de una falla, esto
apoyará para que sea posible detectar a tiempo algún problema, estos sistemas de
notificación cada vez son más comunes, sobre todo en los sistemas profesionales,
algunos de estos reportan desde fallas de energía hasta acceso de personal no
autorizado.
Sistemas de respaldo: pero ahora nos referimos a los datos, un buen sistema de respaldo
es como un seguro de vida, es indispensable, los datos tienen que tener un ciclo de vida,
no se deben perder nada y todo se debe salvar en cuestión de minutos, ya sean unidades
de cinta, DVD o discos duros siempre debe de existir un respaldo de la información más
importante del negocio.
Estas son algunas de las cosas más importantes a tomar en cuenta en el esquema general
de seguridad de nuestros servidores, algunos que tenemos recursos más limitados
tenemos que ver la forma de cubrir los aspectos más importantes con lo que tenemos a
la mano.
Usando estas directivas puede ayudar a prevenir que cualquier servicio xinetd (es un
servicio ó demonio que usan gran parte de los sistemas Unix dedicado a administrar la
conectividad basada en Internet. xinetd es una extensión más segura del servicio de
Internet inetd ) sobresature el sistema, resultando en un rechazo de servicio.
• Mantenga todos los servicios actualizados para así protegerse de las últimas
amenazas informáticas.
• Utilice protocolos seguros siempre que sea posible.
• Proporcione sólo un tipo de servicio de red por máquina siempre que sea
posible.
• Supervise todos los servidores cuidadosamente por actividad sospechosa.
Los TCP wrappers (es una herramienta simple que sirve para monitorear y controlar el
tráfico que llega por la red) proporcionan control de acceso a una variedad de servicios.
La mayoría de los servicios modernos de redes, tales como SSH, Telnet y FTP, hacen
uso de TCP wrappers, que montan guardia entre las peticiones entrantes y el servicio
solicitado.
Los beneficios ofrecidos por TCP wrappers son mejorados cuando se usan en conjunto
con xinetd, un super servicio que proporciona acceso adicional, conexión, enlace,
redirección y control de la utilización de recursos.
Los TCP wrappers son capaces de mucho más que simplemente negar el acceso a
servicios
Una buena forma de disfrazar qué sistema está ejecutando el servidor, es enviando un
mensaje intimidante a las conexiones clientes para un servicio. Esto también permite
dejarle saber al atacante que el administrador del sistema está atento y vigilante. Para
implementar un mensaje de TCP wrapper para un servicio, utilice la opción banner.
Este ejemplo implementa una pancarta para vsftpd. Para comenzar, debe crear un archivo
de pancartas. Este puede estar en cualquier lugar en el sistema, pero debe tener el
mismo nombre que el demonio. Para este ejemplo, se nombrará al archivo
/etc/banners/vsftpd.
220-Hello, %c
220-All activity on ftp.example.com is logged.
220-Act up and you will be banned.
La señal %c proporciona una variedad de información del cliente, tal como el nombre de
usuario y del host, o el nombre del usuario y la dirección IP para hacer la conexión aún
más intimidante. El Manual de referencia de Red Hat Enterprise Linux tiene una lista
de otras señales disponibles con los TCP wrappers.
Para que esta pancarta sea presentada a las conexiones entrantes, añada la siguiente
línea al archivo /etc/hosts.allow:
Si un host particular o red ha sido atrapada tratando de atacar el servidor, se pueden usar
los TCP wrappers para advertir de ataques subsecuentes desde esa máquina o red a
través de la directiva spawn.
En este ejemplo, se asume que el cracker desde la red 206.182.68.0/24 ha sido atrapado
intentando atacar el servidor. Colocando la siguiente línea en el archivo /etc/hosts.deny, se
niega el intento de conexión y se registra a un archivo especial.
Si ciertos tipos de conexión son de mayor preocupación que otros, se puede subir el
nivel de conexión para ese servicio a través de la opción severity.
En este ejemplo, se asume que cualquiera que esté intentando conectarse al puerto 23 (el
puerto de Telnet) en un servidor FTP, es un maleante informático. Para resaltar esto,
coloque una bandera emerg en los archivos de registro en vez de la bandera por defecto,
info, y niegue la conexión.
Una característica importante de xinetd es la habilidad de añadir hosts a una lista global
de no_access. A los hosts en esta lista se les negará conexiones a los servicios manejados
por xinetd por un tiempo determinado o hasta que se reinicie xinetd. Esto se logra usando
el atributo SENSOR. Esta técnica es una forma fácil de bloquear máquinas que intenten
escanear un puerto del servidor.
flags = SENSOR
deny_time = 30
Esto negará al host el acceso al puerto por 30 minutos. Otros valores aceptables para el
atributo deny_time son FOREVER, lo que mantiene el bloqueo hasta que se reinicie
xinetd, y NEVER, lo que permite la conexión y la conecta.
disable = no
Aún cuando el uso de SENSOR es una buena forma de detectar y detener conexiones de
máquinas dañinas, tiene dos desventajas: