Guía Práctica de Inspección

a la
Seguridad Informática

PARTE 5

Seguridad en los servidores

Este documento constituye una parte de la guía de control a la seguridad informática para los grupos de
control de la actividad en la provincia de Camagüey
Seguridad en los servidores pág. 2

INDICE

INTRODUCCIÓN............................................................................................................................. 3
CONTENIDO.................................................................................................................................... 4
ASPECTOS A CHEQUEAR............................................................................................................. 5
 Seguridad de los servidores..................................................................................................5
 Configuración del Controlador de Dominio............................................................................6
 Seguridad de la red............................................................................................................... 8
Seguridad en los servidores pág. 3

INTRODUCCIÓN
Una red informática es un conjunto de equipos conectados por medio de cables, señales, ondas o
cualquier otro método de transporte de datos, que comparten información, recursos y servicios. Un
servidor es una computadora que, formando parte de una red, provee servicios a otras
computadoras denominadas clientes. Existen distintos tipos de servidores como son los de archivo,
impresión, correo, proxy, acceso remoto (RAS), web, base de datos u otros servicios brindados a
través de la red informática.

Los puntos de entrada en la red son generalmente el correo, las páginas web y la entrada de ficheros
desde discos, o de ordenadores ajenos, como portátiles.

El hecho de conectar una red a un entorno externo nos da la posibilidad de que algún atacante pueda
entrar en ella, con esto, se puede hacer robo de información o alterar el funcionamiento de la red. Sin
embargo el hecho de que la red no sea conectada a un entorno externo no nos garantiza la
seguridad de la misma. Basado en esto podemos decir que existen 2 tipos de amenazas:

Amenazas internas: Generalmente estas amenazas pueden ser más serias que las externas por
varias razones como son:

-Los usuarios conocen la red y saben cómo es su funcionamiento.

-Tienen algún nivel de acceso a la red por las mismas necesidades de su trabajo.
-Los IPS y Firewalls son mecanismos no efectivos en amenazas internas.
Amenazas externas: Son aquellas amenazas que se originan de afuera de la red. Al no tener
información certera de la red, un atacante tiene que realizar ciertos pasos para poder conocer qué es
lo que hay en ella y buscar la manera de atacarla. La ventaja que se tiene en este caso es que el
administrador de la red puede prevenir una buena parte de los ataques externos, como por ejemplo:

1. Ataque de denegación de servicio, también llamado ataque DoS

2. Interacción IP/MAC (ARP spoofing)
3. Autenticación del origen (IP spoofing)
En esta parte de la guía de inspección veremos los aspectos a controlar en los locales de los
servidores o nodos que garanticen la seguridad de la información que se soporta en este medio
informático y por la importancia de estos equipos para el correcto funcionamiento de los servicios que
se prestan en la red.
Seguridad en los servidores pág. 4

CONTENIDO
Se tiene designada una persona para la Administración de la red y tiene conocimiento sobre las
1 obligaciones que tiene en relación a la seguridad informática.

Seguridad de los servidores

2 Se cumple con las restricciones de los niveles de accesos al local de los Servidores.

3 Se tiene control actualizado sobre los dispositivos y medios existentes en el local de los
Servidores.

4 Se emplean procesos de tolerancias a fallos en los Servidores mediante el empleo de arreglos

de discos o Server espejos.

5 Existen copias de las configuraciones de los servidores, instaladores de aplicaciones y sistemas

operativos.

6 Se cuenta con un mecanismo para la actualización del Sistema Operativo o software instalados.

Configuración del Controlador de Dominio

Se tienen definidos grupos o unidades organizativas para organizar la red en correspondencia
7 con la estructura de la entidad.

8 Las informaciones sensibles solamente son accedidas desde las estaciones de trabajo
debidamente autorizadas.

9 Se tienen implementas las políticas de auditorías locales y a nivel de dominio, que permita
monitorear los principales eventos del Sistema Operativo por un tiempo no menor de un año sin
afectarse el desempeño del mismo.

10 Se tiene implementada una política de seguridad para garantizar la protección de los registros
de eventos.

11 Tienen definida una política de seguridad para regular las tareas de administración remota de
los Servidores y estaciones de trabajo.

12 Se realizan acciones de administración remota de los Servidores y estaciones de trabajo

empleando conexiones conmutadas.
Seguridad de la red
13 El diseño y arquitectura de la red está acorde con el diagrama e inscripción de la red aprobada
para su empleo.

14 Se prohíbe la adición de algún equipo sin la autorización de los jefes facultados.

15 Se realizan exploraciones o monitoreo de las redes públicas de transmisión de datos en busca

de vulnerabilidades y/o información sobre los usuarios legales de las mismas

16 Se cuenta con la instalación de cortafuegos y/o sistemas de detección de intrusos (IDS).

17 El acceso inalámbrico está aislado del resto de la red corporativa

 Seguridad en los servidores pág. 5

ASPECTOS A CHEQUEAR
1. Se tiene designada una persona para la Administración de la red y tiene conocimiento sobre
las obligaciones que tiene en relación a la seguridad informática. (Artículos 61, 62 Resol.
127/07 MIC)

Comprobar sí está designada una persona encargada de la administración de la red informática.

Comprobar sí el administrador de la red conoce las obligaciones que tiene en relación a la
seguridad informática.

 Seguridad de los servidores

2. Se cumple con las restricciones de los niveles de accesos al local de los Servidores.
(Artículos 33, 34 y 35 Resol. 127/07 MIC)
Comprobar si cumplen con las restricciones de los niveles de acceso al local de los Servidores,
verificándose:

___Existencia de personas ajenas a este.

___El local se encuentra compartido con otras áreas no vinculadas a la actividad informática o
para acceder a otros departamentos se necesita circular por donde están los Servidores.

Tomar imágenes sobre los niveles de accesos y posibles violaciones graves que se cometen en
este sentido (puede ser anexada al informe).
Verificar sí existen fotos o videos tomadas en locales de áreas restringidas y estratégicas.

En controles nos hemos encontrado en los discos duros la presencia de fotos y videos
filmados en los locales de Servidores, elementos que nos sirven como evidencias de
esas violaciones

3. Se tiene control actualizado sobre los dispositivos y medios existentes en el local de los
Servidores. (Artículo 10 inciso e) Resol. 127/07 MIC)

Solicitar el inventario actualizado de los dispositivos y medios existentes en el local de los

Servidores (MODEM, HUB, Switch, Router, Servidores, puntos de accesos inalámbricos, PLC, y
todo equipo relacionado con las comunicaciones).
Comprobar sí los medios existentes se encuentran inventariados y pertenecen a la entidad.
4. Se emplean procesos de tolerancias a fallos en los Servidores mediante el empleo de arreglos
de discos o Server espejos. (Artículo 53 Resol. 127/07 MIC)
Comprobar en la práctica sí los servidores tienen arreglos de discos (RAID) que garantizan la
réplica de las informaciones y servicios.
NOTA: RAID es un sistema de almacenamiento que usa múltiples discos duros entre los que
distribuye o replica los datos proporcionando mayor integridad, tolerancia a fallos, rendimiento y
mayor capacidad. Combina varios discos duros en una sola unidad lógica. Así, en lugar de ver
varios discos duros diferentes, el sistema operativo ve uno solo.

5. Existen copias de las configuraciones de los servidores, instaladores de aplicaciones y

sistemas operativos. (Artículo 53 Resol. 127/07 MIC)
 Seguridad en los servidores pág. 6

Comprobar sí tienen salvas realizadas de las configuraciones de los Servidores, instaladores de

sistemas y aplicaciones que utilizan.
Comprobar el estado físico y condiciones ambientales del soporte externo en el cual se
almacenan.
6. Se cuenta con un mecanismo para la actualización del Sistema Operativo o software
instalados. (Artículo 44 Resol. 127/07 MIC))

Verificar sí define alguna política dirigida a garantizar las actualizaciones de los Sistemas
Operativos y del software instalado, en cuanto a brechas de seguridad detectadas y publicadas
en sitios de seguridad en Internet.

 Configuración del Controlador de Dominio

7. Se tienen definidos grupos o unidades organizativas para organizar la red en correspondencia
con la estructura de la entidad. (Artículo 58 Resol. 127/07 MIC)
Comprobar en la práctica sí:

___Tienen definidos grupos globales o unidades organizativas en correspondencia con la

complejidad de la red y estructura de la entidad.
___Se aplican directivas a los grupos globales o unidades organizativas; así como a
determinados usuarios o estaciones de trabajo.
___Existen restricciones de acceso para determinados días y horarios.
___Verificar las cuentas creadas en función de la administración de la red y de los servicios,
comprobándose su aprobación.
 En Windows, sí tienen implementado el Directorio Activo se comprueba Inicio/Herramientas
Administrativas/ Usuarios y Computadoras del Directorio Activo.

8. Las informaciones sensibles solamente son accedidas desde las estaciones de trabajo
debidamente autorizadas. (Artículo 57 y 48 Resol. 127/07 MIC)
Comprobar en la práctica sí existe una política de seguridad en cuanto a compartir recursos
en la red y cómo la aplican:

___Los recursos e informaciones se comparten mediante contraseñas o de sólo Lectura, o

ambas.
___Se comparten totalmente los discos duros.
___En los recursos compartidos se almacenan cualquier tipo de información.

9. Se tienen implementas las políticas de auditorías locales y a nivel de dominio, que permita
monitorear los principales eventos del Sistema Operativo por un tiempo no menor de un
año sin afectarse el desempeño del mismo. (Artículo 58 y 62 inciso a) Resol. 127/07 MIC)

Verificar sí tienen definidas las políticas de auditorías locales y a nivel de dominio:

 En Windows Inicio/Herramientas Administrativas/Políticas de Seguridad del Dominio.

NOTA: Por defecto, las auditorias del dominio están deshabilitadas y en la Configuración de
Seguridad del Controlador de Dominio sí vienen habilitadas el acceso del servicio de
directorio, cambio de directivas, administración de cuentas y sucesos del sistema.
Seguridad en los servidores pág. 7

Se recomienda auditar los siguientes eventos:

Evento Sucess Failure

1 Log on/off Si Si
2 File and Object Acces No Si
3 Use of User Rights No Si
4 User and Group Managed Si Si
5 Security Policy Changes Si Si
6 Restart, Shutdown, and System No Si
 Para conocer las
auditorias habilitadas en las estaciones de trabajo se puede correr el comando secpol.msc
 En un controlador de dominio se puede usar el comando dsa.msc (Active Directory Users and
Computers) o gpmc.msc (Group Policy Management Console).

NOTA: En sistemas operativos Windows existen tres registros que vienen de forma
predeterminada (Aplicación, Sistema y Seguridad). Los otros tres (Servicio de Directorio,
Replicación de Archivos y Servidor DNS) estarán presentes cuando se encuentran instalados
los servicios apropiados.
 Es preciso revisar la configuración de cada registro en términos de su tamaño máximo y lo
que debería ocurrir cuando alcance éste tamaño; porque por defecto viene con 512 Kbyte y
sobre escritura a los siete días:
- Inicio/Programa/Herramientas Administrativas/Visor de Sucesos (Event Viewer) - click
derecho y propiedades)

10. Se tiene implementada una política de seguridad para garantizar la protección de los
registros de eventos. (Artículo 58 Resol. 127/07 MIC)

Revisar sí tienen definida una política de seguridad para garantizar la protección de los
principales eventos del Sistema Operativo(logs del sistema):

___Garantizan el almacenamiento de los principales eventos del sistema operativo, por un tiempo
no menor de un año.
___Cuentan con una salva en otra ubicación, independiente del servidor o la estación de trabajo.
___Se establecen correctamente los derechos y permisos de acceso a los registros de sucesos,
solamente por el personal autorizado:
 Inicio/Panel de Control/ Herramientas Administrativas/ Directivas de Seguridad Local/
Directivas Locales/ Asignación de derechos de Usuarios. La directiva de Administrar los
registros de auditoría y seguridad debe ser solamente para los administradores del dominio
 Con el comando secpol.msc
11. Tienen definida una política de seguridad para regular las tareas de administración remota
de los Servidores y estaciones de trabajo. (Artículo 63 Resol. 127/07 MIC)

Revisar sí establecen una política de seguridad que regule las tareas de administración remota
de los Servidores y estaciones de trabajo; como mínimo deben definir:

___Quién o quienes pueden realizar las tareas de administración remota

___Tienen definidas las responsabilidades y obligaciones de ese personal
___Definen los puestos de trabajo que serán autorizados
Seguridad en los servidores pág. 8

Escanear la red en busca de los puertos de administración remota abiertos. Ejemplo:

nmap -A -T4 192.168.1.0/24
22 open SSH
3389 open ms-term-serv
10000 open Webmin

NOTA: Existen reglas de accesos en los cortafuegos de los Servidores (ISA Server, Kerio
WinRouter) y las terminales para regular las conexiones remotas hacia los puertos detectados y
desde los puestos de trabajo autorizados

12. Se realizan acciones de administración remota de los Servidores y estaciones de trabajo

empleando conexiones conmutadas. (Artículo 63 Resol. 127/07 MIC)

Comprobar sí las cuentas de administrador o administrador del dominio tienen la posibilidad de

conectarse de forma remota por el servicio RAS

Analizar las trazas del servicio RAS e identificar si existen conexiones con las cuentas de
administración:

 Windows: Con la herramienta IAS Log Viewer se analizan las trazas de conexiones
conmutadas de RAS (Windows/System32/Logfiles).

 Con la herramienta Event Log Explorer analizar los eventos del sistema operativo y filtramos
para accesos remotos.

Recordar que esto es una prohibición y una violación GRAVE.

 Seguridad de la red
13. El diseño y arquitectura de la red está acorde con el diagrama e inscripción de la red
aprobada para su empleo. (Artículo 60 Resol. 127/07 MIC)

Solicitar la documentación presentada a la Agencia de Control y Supervisión (ACS) del MIC para
la inscripción de la red informática y de los servicios.
Realizar diseño del diagrama de la red y obtener los datos técnicos de los dispositivos utilizados
(hub, switch, router, modem, modem-router, puntos de accesos inalámbricos, étc). Verificar su
correspondencia con lo presentado a la ACS.
Comprobar en la práctica sí:

___La red está segmentada correctamente con direcciones IP privadas y distinto al rango IP
público.
___Existen computadoras con más de una tarjeta de red y con direcciones IP públicas sin estar
autorizado.
 Para identificar las interfaz de red: ipconfig/all

14. Se prohíbe la adición de algún equipo sin la autorización de los jefes facultados. (Artículo
64 Resol. 127/07 MIC)

Revisar sí definen la prohibición de adicionar algún equipo o introducir cualquier tipo de software
en la red; sin la debida autorización.
Seguridad en los servidores pág. 9

Comprobar si existen equipos (celulares, laptop, MODEM, étc) ajenos a la entidad conectados a
la red sin autorización.
.

Verificar si la máscara de red está calculada en correspondencia con la cantidad de equipos

conectados en la entidad.

15. Se realizan exploraciones o monitoreo de las redes públicas de transmisión de datos en

busca de vulnerabilidades y/o información sobre los usuarios legales de las mismas.
(Artículo 64 Resol. 127/07 MIC)
Verificar sí se establece una política de seguridad donde se prohíba la exploración o monitoreo
de las redes públicas de transmisión de datos en busca de vulnerabilidades y/o información sobre
los usuarios legales de las mismas.
Comprobar sí se realiza la exploración o monitoreo sin autorización de las redes públicas de
transmisión de datos, en busca de vulnerabilidades y/o información sobre los usuarios legales de
las mismas.
En la revisión de las estaciones de trabajo obtener evidencias sobre los programas instalados e
identificar aquellos que son empleados para estos fines. (Super scan, Nmap, éct)

16. Se cuenta con la instalación de cortafuegos y/o sistemas de detección de intrusos (IDS).
(Artículo 66 Resol. 127/07 MIC )

Comprobar sí las opciones de seguridad y reglas de accesos definidas en los cortafuegos e IDS
garantizan una barrera de protección:

___Se permiten solamente los accesos autorizados desde o hacia el exterior por los puertos,
servicios y direcciones IP autorizadas.
___Se guardan las trazas del cortafuego y/o IDS.

17. El acceso inalámbrico está aislado del resto de la red corporativa. (Artículos 57 y 66 Resol.
127/07 MIC)

Comprobar sí el acceso inalámbrico está aislado del resto de la red corporativa; mediante el uso
de una lista de acceso adecuada en un enrutador o agrupando todos los puertos de acceso
inalámbrico en una VLAN si se emplea switch.