Decálogo de seguridad

Siguiendo estos diez consejos podremos conseguir un grado bastante razonable de seguridad bajo Windows NT.

Debido a su diseño Windows NT es un sistema que apuesta por la seguridad y que ha llegdo a obtener el certficado de seguridad C2, sin embargo ningún administrador debe perder de vista que una vez acabada la instalación aun queda un buen trecho por recorrer para llegar a un grado respetable de seguridad, aquí tienes un pequeño croquis que te ayudará a no perderte. No obstante para conseguir un mayor grado de seguridad debes recurrir a manuales especializados en el tema y no perder de vista lo que vayamos publicando en estas paginas, para llegar al nivel de C2 existe una utilidad en el Kit de recursos de Windows NT 4.0 que nos permite chequear a fondo nuestro sistema. Y sobre todo no te duermas nunca en los laureles.

Divide y vencerás.

No recomiendo a nadie tener una sola unidad de disco duro en un servidor, es más aconsejable tener dos o tres dispositivos, si sólo tenemos un disco de gran capacidad os animo a crear varias particiones. Tener más de un dispositivo puede ayudarnos en el momento en que uno de ellos decida fallar, perderemos menos información y siempre podremos mover esta a otro disco antes de un desastre total, en sistemas críticos tendremos implementar el nivel adecuado de RAID. Por lo que respecta a las visitas indeseadas el tener varias unidades (físicas o lógicas) dificultará el movimiento del posible intruso, pues una vez que acceda a una unidad podrá moverse por esta con relativa facilidad, sin embargo el salto de una unidad a otra es algo más complicado. En principio recomiendo tres particiones/unidades distintas:

Unidad de sistema: será nuestra unidad de arranque (C:), contendrá el directorio raiz de Windows, las aplicaciones de sistema y archivos críticos para el administrador (registro de actividades, información de usuarios, utilidades de diagnóstico...). Es muy importante restringir al máximo los permisos en esta unidad, puedes leer una configuración idónea (revizar) en la sección compartir y permitir.

Unidad de usuarios: incluiría las carpetas personales, los datos comunes y los archivos para instalar aplicaciones, aunque los contenidos son de naturaleza dispar tienen una importante característica común: los usuarios habituales de nuestro sistema necesitan acceder a ellas constantemente. Se darán los permisos necesarios a nuestros usuarios y se denegarán al resto de los mortales.

Unidad de uso público: contendría todos los archivos accesibles desde el exterior: ftp publico, paginas html de nuestro servidor web, etc. Todo el mundo tendrá acceso aquí pero es importante que los permisos sean de sólo lectura.

NTFS.

Si queremos seguridad no podemos dudarlo, NTFS es nuestro sistema de archivos. Aunque lo más lógico es elegirlo durante la instalación, no debemos olvidar que la conversión de FAT a NTFS puede realizarse en cualquier momento usando el comando convert

convert unidad: /fs:ntfs

NTFS implementa seguridad a nivel de archivo, cada archivo o directorio posee su lista de control de acceso (ACL) y "sabe" en todo momento quien tiene derechos sobre él, permitiéndonos hilar muy fino con los permisos. Por el contrario el sistema FAT carece totalmente de gestión de seguridad, una vez que un intruso entre en nuestro sistema todos los archivos estarían a su alcance, además nuestros propios usuarios podrían acceder o borrarr con total impunidad cualquier archivo del sistema.

Usuarios indeseados

Existen tres cuentas de usuario que no podemos perder de vista:

Administrador, root, supervisor y otras sencillas variaciones: la cuenta favorita de los piratas informáticos, garantiza acceso total al sistema, no se bloquea al pasarle un diccionario de claves y existe forzosamente en el sistema. Por razones obvias te aconsejo bloquear esta cuenta y crear uno o dos usuarios con derechos de administrador y un nombre que pase desapercibido.

Invitado: esta cuenta también se crea por defecto durante la instalación y suele asignarsele una sencilla clave para uso y disfrute de filisbuteros y curiosos, el unico consuelo es que suele tener pocos privilegios, aún así lo mejor es bloquearla y crear otra del mismo estilo sólo si realmente la necesitamos.

Todos: el nombre de este grupo quiere decir todos, o sea, TODOS, CUALQUIERA, EL PRIMERO QUE LLEGUE. Es muy peligroso y para colmo al instalarse NT resulta que "todos" tienen permiso sobre todo, vamos un desastre absoluto. Elimina este grupo cuanto antes y si necesitas algo parecido crea un nuevo grupo con otro nombre.

Los usuarios con derechos de administrador deben tener dos cuentas distintas, una de uso administrativo y otra para tareas generales.Usa la cuenta con privilegios de administrador sólo cuando tengas que realizar en tu servidor trabajos que requieran dichos privilegios. Para tu trabajo cotidiano debes usar siempre una cuenta de usuario normal, de esta manera podrás minimizar el impacto causado por errores accidentales, infecciones de virus o ataques al sistema.

Las cuentas claras.

Tras el rimbombante nombre de "política de cuentas" se esconde un concepto que es de vital importancia para la seguridad del sistema, podemos resumir este concepto haciéndonos la siguiente pregunta: ¿qué voy a permitir a mis usuarios hacer con sus cuentas y sus claves?.

NT nos permite un amplio abanico de posibilidades para no perder de vista las cuentas en nuestro sistema aquí tienes algunas de las opciones más interesantes que puedes configurar desde el administrador de usuarios, concretamente en el menú directivas - cuentas:

Duración de contraseña: es recomendable que acostumbres a tus usuarios a cambiar de clave periodicamente por si alguna cuenta es pirateada, suele recomendarse una vez al mes pero esto dependerá del grado de seguridad requerido o la frecuencia de intrusiones.

Longitud de contraseña: para evitar la captura de claves no es recomendable usar palabras cotidianas ni siglas o cifras relacionadas con el usuario, el sistema, la fecha actual, el lugar de trabajo, etc. Si usamos combinaciones alfanuméricas de corta longitud quedamos expuestos a un ataque de fuerza bruta que consiste en generar combinaciones hasta que coincidan con la nuestra, recomiendo para empezar una clave de 9 caracteres que contenga cifras, letras y signos de puntuación. Si necesitamos máxima seguridad es interesante saber que una clave de 14 caracteres con cifras, letras, signos y caracteres extendidos puede darle a un Pentium Pro 200 trabajo para unos veinte años.

Bloqueo de cuentas: nos permite bloquear una cuenta después de cierto número de intentos incorrectos, con esto evitamos que puedan reventarnos una clave usando un diccionario o un generador de claves. Tenemos la opción de que la cuenta se restablezca pasado un tiempo o dejarla bloqueada hasta que intervenga el administrador.

Otras opciones para evitar el uso indebido de cuentas aparecen en las propiedades de la cuenta de cada usuario, son las siguientes: limitar el horario de uso de la cuenta, permitir al usuario iniciar sesión sólo desde ciertas máquinas y ponerle fecha de caducidad a las cuentas.

Compartir y permitir.

Durante la instalación de NT se asignan por defecto permisos de control total a todos lo usuarios sobre todos los ficheros, esta peligrosa situación debe ser modificada por el administrador antes de que alguien cause un desastre en el sistema, aquí tienes el procedimiento correcto para configurar los permisos de acceso en la unidad de sistema:

Configura la unidad completa, incluyendo subdirectorios y archivos, con los siguientes permisos:

Administrador	Control total
Sistema	Control total
Usuarios	Sólo lectura

A continuación modifica los permisos en el directorio %systemroot%\system32\config de nuevo incluyendo subdirectorios y archivos:

Administrador	Control total
Creador propietario	Control total
Sistema	Control total
Usuarios	Adición

El directorio donde se almacenen los archivos temporales debería configurarse así:

Administrador	Control total
Creador propietario	Control total
Sistema	Control total
Usuarios	Adición

El resto de archivos y directorios debe ser configurado por el administrador a tenor de las necesidades de las aplicaciones y los usuarios, algunas aplicaciones necesitarán que los usuarios tengán permiso de escritura en el directorio de la aplicación.

La primera vez que instalé NT me armé un lio grandisimo con los permisos de los recursos compartidos y los permisos de fichero, siempre me las apañaba para colocar sin darme cuenta permisos contardictorios de manera que mis usuarios nunca podían acceder a lo que necesitaban y tenían control total sobre lo que no debían. Si eres un recien llegado ten cuidado, debes tener claro que cuando estos permisos entren en contradicción siempre se impondrá el más restrictivo y si quieres un buen consejo asigna los permisos sobre los recursos compartidos a grupos generales del sistema para luegor afinar más con los permisos de archivos y directorios.

Cuidado con el protocolo.

NT se caracteriza por ofrecer una amplia variedad de protocolos y servicios de red que hacen de el un sistema versatil y con capacidad de integración en diversos entornos de red, esta profusión puede volverse contra nosotros. Planifica y decide que protocolos necesitas en tu red y elimina desde el icono red del panel de control aquellos que no vayas a usar.

Nota: los sistemas operativos de Microsoft utilizan para comunicarse entre si el protocolo NetBIOS, este protocolo a su vez debe ir sobre otro de inferior nivel que puede ser uno de los siguientes: NetBEUI, IPX/SPX, TCP/IP; es por ello que hablaremos de NetBIOS sobre TCP/IP o NetBIOS sobre NetBEUI. Otras aplicaciones y servicios acceden a la red utilizando directamente IPX/SPX o TCP/IP pero sin utilizar NetBIOS.

Aquí tienes algunas situaciones frecuentes:

Pequeña red LAN sin acceso a Internet y sin intra o extranet: si tenemos clientes basados en DOS o algún equipo usando LAN Manager necesitamos forzosamente NetBIOS sobre NetBEUI, si además tenemos algún servidor Novell también necesitamos IPX/SPX aunque no necesitamos activar el enlace de NetBIOS sobre IPX/SPX. Si los clientes son todos NT, 95 o Windows 3.x lo más recomendable es NetBIOS sobre IPX/SPX y de paso tendriamos acceso a Novell.
Redes LAN con Internet, intranet o extranet: necesitamos claramente TCP/IP, si queremos seguridad podemos usar NetBIOS sobre IPX/SPX y no activar el enlace NetBIOS-TCP/IP, si tenemos clientes DOS o LAN Manager vamos a necesitar NetBEUI en cuyo caso podríamos quitar IPX/SPX. Otra opción es usar NetBIOS sobre TCP/IP y filtrar en nuestro router los puertos 135 a 139 o usar un cortafuegos.
Redes WAN: se hace necesario NetBIOS sobre TCP/IP, debemos eliminar el resto de los protocolos si no son estrictamente necesarios. Si queremos seguridad debemos implementar cortafuegos en nuestra red.

Cada servicio una puerta.

Con los servicios de red nos enfrentamos a la misma cuestión que con los protocolos, tenemos muchos disponibles pero sólo hemos de implementarlos si realmente los necesitamos, sabemos como funcionan y conocemos las repercusiones que puedan tener sobre la seguridad de nuestro servidor. Si queremos probar algún servicio que no dominemos debemos instalarlo en un entorno aislado y someterlo a todos los ataques que conozcamos y algún otro que se nos ocurra, cómo por ejemplo ver que carga de trabajo puede soportar sin dejar colgado el sistema.

No entraremos de momento en detalles pero no quiero dejar de advertir que en este sentido los servicios con los que tenemos que tomar más precauciones son todos los basados sobre TCP/IP: FTP, SMTP, POP, HTTP, etc.

Procura además que tus servicios no den al visitante información sobre el sistema operativo, el servicio que estamos usando o cualquier característica de nuestro sistema que no sea estrictamente necesaria para el usuario y pueda ser sabiamente explotada por un intruso.

Auditoría de sucesos.

Si en cualquier otro contexto hablamos de seguridad, el primer concepto que nos viene a la cabeza es el de vigilante. Por muchas medidas de seguridad mecánicas y electrónicas que se implanten la presencia humana siempre (ejem) es una garantia de respuesta ante lo imprevisto.

Este es el papel que juega en NT el concepto de auditoria. En ciertos lugares estratégicos colocamos un vigilante que nos va haciendo un informe de todos las incidencias que se produzcan, más tarde revisamos estas listas y tomamos las decisiones oportunas, la valiosisima herramienta que nos ayudará a estar al tanto de todo lo que ocurre en nuestro sistema minuto a minuto es el visor de sucesos. Recomiendo a todos los administradores de red colocar un acceso directo a esta utilidad en el menú de inicio, de manera que al llegar cada mañana lo primero sea echar un vistazo a todo lo que ha ocurrido en nuestra ausencia.

Debemos activar las auditorias de todos aquellos recursos supcestibles de ser manipulados indebidamente o de generar errores críticos, normalmente podremos hacerlo desde cada recurso, editando sus propiedades y eligiendo la solapilla de auditoria. Aquí tienes los que considero más importantes:

Accesos al sistema (correctos o erroneos)
Accesos erroneos a archivos.
Cambios en el plan de seguridad.
Problemas de impresión.
Entradas a través de RAS (correctas o erroneas).

En general cualquier servicio es susceptible de ser auditado (mail,ftp,web y todos los mencionados arriba) sin embargo siempre habremos de buscar un equilibrio entre la cantidad de suscesos auditados y los recursos del sistema, esto ya queda a discreción del administrador.

Manténte al loro.

Si sigues los consejos anteriores vas a poder dormir plácidamente durante un tiempo, sin embargo cada día se descubren nuevos agujeros de seguridad incluso en los sistemas más fiables, es importante mantenerse al día sobre este tipo de noticias, plantearnos los riesgos que implica la instalación de nuevos servicios en nuestra red y revisar que todas las puertas estén cerradas tan a menudo como nos sea posible. Valor y .... al loro.

Volver al inicio del documento