Documentos de Académico
Documentos de Profesional
Documentos de Cultura
a la
Seguridad Informática
PARTE 5
Este documento constituye una parte de la guía de control a la seguridad informática para los grupos de
control de la actividad en la provincia de Camagüey
Seguridad en los servidores pág. 2
INDICE
INTRODUCCIÓN............................................................................................................................. 3
CONTENIDO.................................................................................................................................... 4
ASPECTOS A CHEQUEAR............................................................................................................. 5
Seguridad de los servidores..................................................................................................5
Configuración del Controlador de Dominio............................................................................6
Seguridad de la red............................................................................................................... 8
Seguridad en los servidores pág. 3
INTRODUCCIÓN
Una red informática es un conjunto de equipos conectados por medio de cables, señales, ondas o
cualquier otro método de transporte de datos, que comparten información, recursos y servicios. Un
servidor es una computadora que, formando parte de una red, provee servicios a otras
computadoras denominadas clientes. Existen distintos tipos de servidores como son los de archivo,
impresión, correo, proxy, acceso remoto (RAS), web, base de datos u otros servicios brindados a
través de la red informática.
Los puntos de entrada en la red son generalmente el correo, las páginas web y la entrada de ficheros
desde discos, o de ordenadores ajenos, como portátiles.
El hecho de conectar una red a un entorno externo nos da la posibilidad de que algún atacante pueda
entrar en ella, con esto, se puede hacer robo de información o alterar el funcionamiento de la red. Sin
embargo el hecho de que la red no sea conectada a un entorno externo no nos garantiza la
seguridad de la misma. Basado en esto podemos decir que existen 2 tipos de amenazas:
Amenazas internas: Generalmente estas amenazas pueden ser más serias que las externas por
varias razones como son:
CONTENIDO
Se tiene designada una persona para la Administración de la red y tiene conocimiento sobre las
1 obligaciones que tiene en relación a la seguridad informática.
2 Se cumple con las restricciones de los niveles de accesos al local de los Servidores.
3 Se tiene control actualizado sobre los dispositivos y medios existentes en el local de los
Servidores.
6 Se cuenta con un mecanismo para la actualización del Sistema Operativo o software instalados.
8 Las informaciones sensibles solamente son accedidas desde las estaciones de trabajo
debidamente autorizadas.
9 Se tienen implementas las políticas de auditorías locales y a nivel de dominio, que permita
monitorear los principales eventos del Sistema Operativo por un tiempo no menor de un año sin
afectarse el desempeño del mismo.
10 Se tiene implementada una política de seguridad para garantizar la protección de los registros
de eventos.
11 Tienen definida una política de seguridad para regular las tareas de administración remota de
los Servidores y estaciones de trabajo.
ASPECTOS A CHEQUEAR
1. Se tiene designada una persona para la Administración de la red y tiene conocimiento sobre
las obligaciones que tiene en relación a la seguridad informática. (Artículos 61, 62 Resol.
127/07 MIC)
___El local se encuentra compartido con otras áreas no vinculadas a la actividad informática o
para acceder a otros departamentos se necesita circular por donde están los Servidores.
Tomar imágenes sobre los niveles de accesos y posibles violaciones graves que se cometen en
este sentido (puede ser anexada al informe).
Verificar sí existen fotos o videos tomadas en locales de áreas restringidas y estratégicas.
En controles nos hemos encontrado en los discos duros la presencia de fotos y videos
filmados en los locales de Servidores, elementos que nos sirven como evidencias de
esas violaciones
3. Se tiene control actualizado sobre los dispositivos y medios existentes en el local de los
Servidores. (Artículo 10 inciso e) Resol. 127/07 MIC)
Verificar sí define alguna política dirigida a garantizar las actualizaciones de los Sistemas
Operativos y del software instalado, en cuanto a brechas de seguridad detectadas y publicadas
en sitios de seguridad en Internet.
8. Las informaciones sensibles solamente son accedidas desde las estaciones de trabajo
debidamente autorizadas. (Artículo 57 y 48 Resol. 127/07 MIC)
Comprobar en la práctica sí existe una política de seguridad en cuanto a compartir recursos
en la red y cómo la aplican:
9. Se tienen implementas las políticas de auditorías locales y a nivel de dominio, que permita
monitorear los principales eventos del Sistema Operativo por un tiempo no menor de un
año sin afectarse el desempeño del mismo. (Artículo 58 y 62 inciso a) Resol. 127/07 MIC)
NOTA: Por defecto, las auditorias del dominio están deshabilitadas y en la Configuración de
Seguridad del Controlador de Dominio sí vienen habilitadas el acceso del servicio de
directorio, cambio de directivas, administración de cuentas y sucesos del sistema.
Seguridad en los servidores pág. 7
NOTA: En sistemas operativos Windows existen tres registros que vienen de forma
predeterminada (Aplicación, Sistema y Seguridad). Los otros tres (Servicio de Directorio,
Replicación de Archivos y Servidor DNS) estarán presentes cuando se encuentran instalados
los servicios apropiados.
Es preciso revisar la configuración de cada registro en términos de su tamaño máximo y lo
que debería ocurrir cuando alcance éste tamaño; porque por defecto viene con 512 Kbyte y
sobre escritura a los siete días:
- Inicio/Programa/Herramientas Administrativas/Visor de Sucesos (Event Viewer) - click
derecho y propiedades)
10. Se tiene implementada una política de seguridad para garantizar la protección de los
registros de eventos. (Artículo 58 Resol. 127/07 MIC)
Revisar sí tienen definida una política de seguridad para garantizar la protección de los
principales eventos del Sistema Operativo(logs del sistema):
___Garantizan el almacenamiento de los principales eventos del sistema operativo, por un tiempo
no menor de un año.
___Cuentan con una salva en otra ubicación, independiente del servidor o la estación de trabajo.
___Se establecen correctamente los derechos y permisos de acceso a los registros de sucesos,
solamente por el personal autorizado:
Inicio/Panel de Control/ Herramientas Administrativas/ Directivas de Seguridad Local/
Directivas Locales/ Asignación de derechos de Usuarios. La directiva de Administrar los
registros de auditoría y seguridad debe ser solamente para los administradores del dominio
Con el comando secpol.msc
11. Tienen definida una política de seguridad para regular las tareas de administración remota
de los Servidores y estaciones de trabajo. (Artículo 63 Resol. 127/07 MIC)
Revisar sí establecen una política de seguridad que regule las tareas de administración remota
de los Servidores y estaciones de trabajo; como mínimo deben definir:
NOTA: Existen reglas de accesos en los cortafuegos de los Servidores (ISA Server, Kerio
WinRouter) y las terminales para regular las conexiones remotas hacia los puertos detectados y
desde los puestos de trabajo autorizados
Analizar las trazas del servicio RAS e identificar si existen conexiones con las cuentas de
administración:
Windows: Con la herramienta IAS Log Viewer se analizan las trazas de conexiones
conmutadas de RAS (Windows/System32/Logfiles).
Con la herramienta Event Log Explorer analizar los eventos del sistema operativo y filtramos
para accesos remotos.
Seguridad de la red
13. El diseño y arquitectura de la red está acorde con el diagrama e inscripción de la red
aprobada para su empleo. (Artículo 60 Resol. 127/07 MIC)
Solicitar la documentación presentada a la Agencia de Control y Supervisión (ACS) del MIC para
la inscripción de la red informática y de los servicios.
Realizar diseño del diagrama de la red y obtener los datos técnicos de los dispositivos utilizados
(hub, switch, router, modem, modem-router, puntos de accesos inalámbricos, étc). Verificar su
correspondencia con lo presentado a la ACS.
Comprobar en la práctica sí:
___La red está segmentada correctamente con direcciones IP privadas y distinto al rango IP
público.
___Existen computadoras con más de una tarjeta de red y con direcciones IP públicas sin estar
autorizado.
Para identificar las interfaz de red: ipconfig/all
14. Se prohíbe la adición de algún equipo sin la autorización de los jefes facultados. (Artículo
64 Resol. 127/07 MIC)
Revisar sí definen la prohibición de adicionar algún equipo o introducir cualquier tipo de software
en la red; sin la debida autorización.
Seguridad en los servidores pág. 9
Comprobar si existen equipos (celulares, laptop, MODEM, étc) ajenos a la entidad conectados a
la red sin autorización.
.
16. Se cuenta con la instalación de cortafuegos y/o sistemas de detección de intrusos (IDS).
(Artículo 66 Resol. 127/07 MIC )
Comprobar sí las opciones de seguridad y reglas de accesos definidas en los cortafuegos e IDS
garantizan una barrera de protección:
___Se permiten solamente los accesos autorizados desde o hacia el exterior por los puertos,
servicios y direcciones IP autorizadas.
___Se guardan las trazas del cortafuego y/o IDS.
17. El acceso inalámbrico está aislado del resto de la red corporativa. (Artículos 57 y 66 Resol.
127/07 MIC)
Comprobar sí el acceso inalámbrico está aislado del resto de la red corporativa; mediante el uso
de una lista de acceso adecuada en un enrutador o agrupando todos los puertos de acceso
inalámbrico en una VLAN si se emplea switch.