16 julio 2009

Top 9: Errores más frecuentes de un Administrador de Redes

Cada día que pasa aumentan los ataques que reciben las corporaciones por parte de grupos del crimen organizado para robar información bancaria, números de la seguridad social e información personal.

La mayoría de estos ataques se deben a errores y fallos de supervisión, y sólo un 17% se deben a ataques más sofisticados.

Estudios recientes revelan que durante el año pasado el número de archivos comprometidos fue mayor que la suma de los cuatro años anteriores.

Los grupos del crimen organizado se encuentran con redes poco protegidas en las que se mueven a sus anchas. ¿Qué pasa por la cabeza de los Administradores de Redes para permitir estas fisuras y no tomar ciertas medidas de seguridad?

  1. Dispositivos de red no críticos que no tienen cambiadas las passwords que vienen por defecto. "Los dispositivos no críticos no son objetivo de los hackers".
  2. Varios dispositivos que comparten las mismas passwords. "¿Para qué molestarnos en poner passwords diferentes a los servidores? Así tendremos que memorizar menos"."Y si las conoce el mayor número de empleados, siempre tendremos a alguien a quien preguntar si se nos olvida". O mejor aún, "si cambio de empresa, usaré las mismas passwords que en la antigua, hay que reutilizar".
  3. No testear las aplicaciones web en busca de inyecciones de SQL. "Bah, con evitar que se vean los errores poniendo una página default, es suficiente".
  4. No configurar correctamente las ACLs. "¿Segmentar correctamente la red?, implicaría el uso de los routers como firewalls".
  5. Permitir el acceso remoto no seguro. "Tener que añadir tokens y certificados lleva demasiado tiempo, y nos tocaría modificar la infraestructura, está bien como está".
  6. No testear las aplicaciones no críticas en busca de vulnerabilidades. "Mejor centrarse en las aplicaciones web críticas, a un hacker las otras aplicaciones no le interesan".
  7. Detectores de keyloggers y spyware sólo se instalarán en servidores críticos. "Las licencias están muy caras, y ya tenemos un antivirus que debería detectarlos"
  8. No configurar los routers de forma adecuada para que prohíban el tráfico de salida no deseado. "Si vemos un día que nuestro servidor de correo envía tráfico SSH, será que es multifuncional"
  9. No saber donde están almacenados los datos sensibles. "En cuantos más sitios estén (dispositivos de backup, equipos de desarrollo) más fácil será recuperarlos en caso de extravío".
Probablemente esto sólo les ocurra a las corporaciones de este estudio y los que nos leen realicen: escaneos de vulnerabilidades de todos los dispositivos de red, no sólo de los críticos. Se aseguren regularmente, ya sea de forma manual o automática que los servidores no comparten las mismas passwords. Usen por ejemplo, firewalls de aplicación para detectar ataques SQL Injection sobre las aplicaciones web. Escaneen la red para detectar tráfico no deseado. Inviertan en buenos detectores de malware. Revisen las cuentas y credenciales cuando los empleados abandonan la empresa, implanten un buen sistema de monitorización que recoja logs de los dispositivos que componen tu red.

No existe la seguridad al 100% pero intentemos aproximarnos lo más posible.

[+] http://www.networkworld.com/news/2009/070609-network-managers-mistakes.html

7 comments :

Dmouse dijo...

claro la mayoria de las penetraciones a sistemas son por descuido u omición de los administradores, y no solo los admin si no tambien los programadores.
saludos desde México :P

Miguel dijo...

el punto 3. ha sido traducido "demasiado libremente": si un dba se entera que el net-admin le está tocando las BBDD... igual se rebota ;)

el artículo original habla de sistemas de detección de SQLi, no de "mirar" las bases de datos (eso sería asunto de otra gente).

por cierto, ¡interesante artículo!

Anónimo dijo...

Es muy bonito y muy idealista eso de no utilizar los mismos passwords en diferentes equipos, pero al final, si se administran muchos equipos, lo que acaba pasando es que se siguen unas reglas para la formación de las claves basadas en ubicación, tipo de equipo... etc patrones que un atacante puede deducir a partir de una clave obtenida para dar con otra perteneciente a un equipo distinto.
Lo que es interesante son herramientas de administración segura de passwords, en las que es la herramienta la que se autentica ante los equipos y los usuarios unicamente ante la herramienta (con su perfil de acceso y demas...). Esta herramienta genera claves aleatorias para los equipos configurados y las cambia cada cierto periodo de tiempo. Esto es interesante sobre todo a la hora de que se tienen servicios externalizados, para que este personal no tenga las claves de los equipos directamente. Cyber-ark es un buen ejemplo (es cerrado y caro, advierto), pero hay mas, podríais hacer una buena entrada de esto.. :) (solo como sugerencia, claro)

Un saludo,
TCH

Yago Jesus dijo...

@Miguel, tienes toda la razón, solucionado

Zerial dijo...

Yo agregaria otro mas:

Dejar las claves de uno o mas servicios o accesos en un fichero de texto.

Y para ser peor, dejarlo en una url y que google lo indexe.

dreyercito dijo...

Administrador de redes? O administradores en general? Porque de ahi saltamos de cosas exclusivamente de redes a la mayoria de otras que son mas bien de sistemas...

Laura García dijo...

@Anónimo: interesante sugerencia

@dreyercito: el estudio se centra en los Resposables de Redes, a veces es complicado fijar los límites "Redes vs Sistemas", (también depende del tamaño de la empresa)