Siempre intento definirme como un administrador de sistemas concienciado en la seguridad, más que como un experto en seguridad, pentester, investigador o similares.
También intento definirme como una persona guapa, apuesta, inteligente, simpática, pero no iba la cosa por ahí...
El título de hoy es un poco para hacer la broma de la cantidad de siglas para puestos laborales que nos inundan y que debemos añadir a nuestra no pequeña lista de conceptos importantes. Estoy colaborando con la empresa de un amigo en mejorar un poco su seguridad y, tomando las necesidades identificadas, he creado un pequeño listado de aspectos que considero interesantes.
Creo oportuno adaptar y compartir con vosotros esta lista de tareas, que cualquier administrador de sistemas (sysadmin o cualquier poseedor de siglas relacionadas) debería controlar en sus infraestructuras. Quizá algunos sean obvios para ti, o quizá alguno te sirva para mejorar en tu trabajo diario.
#1 Técnicas anti-fingerprinting
Del resultado de un pentest externo resulta interesante trabajar en la ocultación de toda la información que podamos de los servicios expuestos. Por ejemplo, cambiar la carpeta de administración del CMS, cambiar el logotipo, cambiar el banner del servicio, recompilar el kernel para cambiar el comportamiento del Stack TCP xD, etc.
#2 Firewall y monitorización de logs
Si bien es importante contar con un sistema de firewall para la red perimetral, es necesario ampliar la seguridad con uno también a nivel de servidor e incluso de estaciones - tanto para la entrada como para la salida. La gestión de los logs y las decisiones en consecuencia de esta gestión son algo básico en las tareas diarias de un buen administrador. Por supuesto, se debe comprobar que todos los firewall se comportan como esperamos.
#3 Web application firewall
Las aplicaciones web deben ser protegidas al igual que el resto de servicios que ofrece una organización. Contar con un sistema WAF nos puede ayudar con la mitigación de ataques 0-day que usan técnicas ya conocidas pero no subsanadas por el proveedor, o por nosotros mismos. También nos ayuda como técnica de anti-fingerprinting.
#4 Sistema de detección/prevención de intrusos
Saber que hay actividad sospechosa es el primer paso para parar esa actividad sospechosa. Ya sea manualmente o bien dinámicamente, debemos actuar ante ese registro. Por ejemplo, un escaneo de puertos puede pasar desapercibido para un firewall si se sobrepasa el tiempo entre intentos de puertos, o lo mismo para un ataque de fuerza bruta. Mi experiencia indica que, al final, el IDS te ayuda incluso para asuntos de rendimiento, por ejemplo cuando encuentra multidifusión sospechosa de algún dispositivo mal configurado.
#5 Honeypots
Trabajar con honeypots o “equipos trampa” es altamente recomendable para entender el comportamiento de los códigos maliciosos cuando se produce una infección. Tener sistemas de alerta asociados al honeypot, o un sistema de prevención IPS, es estar un paso por delante en la prevención de un futuro ataque a un servicio real.
#6 Política de actualización de aplicaciones web
Tener un sistema para estar al tanto de las actualizaciones de los portales web es básico. Si usas un Wordpress como CMS deberías activar la casilla de "Mantenerme informado" para estar al día de las actualizaciones. Cada proveedor tiene sus propios canales de información de seguridad y debes estar pendiente.
En una próxima publicación veremos otros elementos importantes que se deben revisar desde la administración de sistemas. Después de todo, el sysadmin es uno de los protagonistas en lo que refiere a gestión de la seguridad.
Sigue leyendo: 5 consejos para mejorar la relación con tu sysadmin