Implementación de seguridad en aplicaciones y datos

Requisitos previos para el capítulo

Descripción de los fundamentos de seguridad de una red Experiencia práctica con Windows® Server 2000 o Windows Server™

2003 Experiencia con las herramientas de administración de Windows Experiencia práctica con las herramientas de administración de SQL

Server y Exchange Server

Índice

Introducción Protección de Exchange Server Protección de SQL Server Seguridad en Small Business Server Seguridad en los datos

En este tema, se proporcionará información general sobre cómo proteger las aplicaciones y los datos. Se tratarán los temas siguientes:

Defensa en profundidad Importancia de la seguridad en las aplicaciones Importancia de la seguridad en los datos Recomendaciones para los servidores de aplicaciones

1. 2. 1

1. Introducción

1.1.Defensa en profundidad

El uso de una solución en niveles:

o Aumenta la posibilidad de que se detecten los intrusos o Disminuye la posibilidad de que los intrusos logren su propósito

Cap6-01.jpg

o Una estrategia de seguridad para una organización es más efectiva cuando los datos están protegidos por más de un nivel de seguridad. La estrategia de seguridad de defensa en profundidad utiliza varios niveles de protección. Si un nivel se ve comprometido, ello no conlleva necesariamente que también lo esté toda la organización. Una estrategia de defensa en profundidad aumenta el riesgo de detectar al intruso y disminuye la oportunidad de que tenga éxito.

o Para reducir al máximo la posibilidad de que un ataque contra los equipos cliente de su organización alcance su objetivo, tiene que implementar el grado apropiado de defensa en cada nivel. Hay muchas formas de proteger cada nivel individual mediante herramientas, tecnologías, directivas y la aplicación de las recomendaciones. Por ejemplo:

Nivel de directivas, procedimientos y concienciación: programas de aprendizaje de seguridad para los usuarios

Nivel de seguridad física: guardias de seguridad, bloqueos y dispositivos de seguimiento

1. 2. 2

Nivel perimetral: servidores de seguridad de hardware, software o ambos, y redes privadas virtuales con procedimientos de cuarentena

Nivel de red de Internet: segmentación de red, Seguridad IP (IPSec) y sistemas de detección de intrusos de red

Nivel de host: prácticas destinadas a reforzar los servidores y clientes, herramientas de administración de revisiones, métodos seguros de autenticación y sistemas de detección de intrusos basados en hosts

Nivel de aplicación: prácticas destinadas a reforzar las aplicaciones y el software antivirus

Nivel de datos: listas de control de acceso (ACL) y cifrado

o En este capítulo se explica la seguridad de los servidores de aplicaciones, basados en Microsoft® Windows® y de los datos que utilizan. Los métodos y prácticas de seguridad descritos en este capítulo se refieren principalmente a los niveles de datos, de aplicaciones y de host. No obstante, es importante tener en cuenta que la seguridad de los clientes debe formar parte únicamente de la estrategia de seguridad global de la organización.

Cap6-20.jpg

1. 2. 3

Las aplicaciones de red permiten que los clientes tengan acceso a los datos y los traten. También constituyen un punto de acceso al servidor donde se ejecutan las aplicaciones.

Recuerde que la aplicación proporciona un servicio a la red. Este servicio no debe anularse con la implementación de seguridad.

Examine las aplicaciones desarrolladas internamente, además de las comerciales, en busca de problemas de seguridad.

Los intrusos cuyo interés son las aplicaciones, pueden bloquear alguna de ellas para conseguir que su funcionalidad deje de estar disponible.

Las aplicaciones puede tener defectos que los atacantes pueden manipular para ejecutar código malintencionado en el sistema.

Un intruso podría utilizar en exceso un servicio, de modo que se imposibilite su uso legítimo; éste es un tipo de ataque de denegación de servicio.

Una aplicación también podría utilizarse para llevar a cabo tareas para las que no esté destinada, como enrutar correo electrónico.

Como otra capa de defensa, application hardening es una parte esencial de cualquier modelo de seguridad. Cada aplicativo en su organización debe ser probado a fondo para la conformidad de seguridad en un ambiente de prueba antes que usted permita que su puesta en producción.

Validation Checks, Verify HTML / Cookies Source, Secure IIS

Las instalaciones de las aplicaciones sólo deberían incluir los servicios y funcionalidad requeridos.

Las aplicaciones desarrolladas internamente se deben evaluar para descubrir vulnerabilidades en la seguridad de una forma continuada y deben desarrollarse e implementarse revisiones para cualquier vulnerabilidad que se identifique.

Las aplicaciones que se ejecutan en la red se deben instalarse de forma segura y se les deben aplicar todas las revisiones y Service Packs correspondientes.

Debe ejecutarse software antivirus para ayudar a impedir la ejecución de código malintencionado.

Si una aplicación se ve comprometida, es posible que el intruso pueda tener acceso al sistema con los mismos privilegios con los que se ejecuta la aplicación. Por lo tanto, ejecute los servicios y aplicaciones con el menor privilegio necesario.

Al desarrollar nuevas aplicaciones personalizadas, implemente las recomendaciones más recientes de ingeniería de seguridad.

1.2. Importancia de la seguridad en las aplicaciones

Las defensas del perímetro proporcionan una protección limitada Muchas defensas basadas en hosts no son específicas de las

aplicaciones En la actualidad, la mayor parte de los ataques se producen en el nivel de

aplicación

1. 2. 4

La defensa en profundidad aumenta la seguridad del sistema. Esta estrategia incluye la seguridad de las aplicaciones. Por ejemplo:

o Las defensas del perímetro pueden bloquear el tráfico entrante. Sin embargo, la seguridad del perímetro puede infringirse. La seguridad del perímetro podría no impedir que un programa de caballo de Troya establezca una conexión saliente desde el equipo de un usuario interno al de un intruso. Éste podría controlar entonces el equipo del usuario a través de esta conexión para obtener acceso a su red.

o Al proteger el equipo host de la aplicación se obtiene otro nivel de seguridad adicional. Sin embargo, las defensas de host, como el refuerzo de la seguridad del sistema operativo, podrían no detener los ataques contra aplicaciones, como las de servidor Web, que se lleven a cabo en el host. La seguridad del equipo host es esencial pero, para garantizar que las aplicaciones no sean vulnerables, también debe proteger aquellas que se ejecutan en los servidores y en otros equipos.

o Al proteger la aplicación se obtiene otro nivel de seguridad adicional. La aplicación de métodos que permitan proteger las aplicaciones es particularmente importante en la actualidad debido a los ataques más recientes, que se producen en el nivel de aplicación.

1.3. Importancia de la seguridad en los datos

Proteja los datos como última línea de defensa Configure los permisos de archivo Configure el cifrado de los datos

o Protege la confidencialidad de la información cuando la seguridad física se ve comprometida

Cap6-02.jpg

o El último nivel de una estrategia de defensa en profundidad consiste en proteger los datos. Al hacerlo, se asegura que sólo los usuarios autorizados puedan tener acceso a ellos.

Una forma de proporcionar seguridad a los datos es la configuración de permisos de archivo. Estos permisos pueden ser muy granulares y pueden especificar cómo un usuario puede utilizar un archivo específico.

Por ejemplo, puede especificar que todos los usuarios puedan leer un archivo o que sólo pueda modificarlo un único usuario.

o Sin embargo, estos permisos no protegen los datos si el sistema operativo se ha visto comprometido o si no está activo. Por

1. 2. 5

ejemplo, si un intruso sustrae un equipo portátil, puede instalar un sistema operativo diferente o mover el disco duro a otro equipo. Si los datos no se protegen mediante cifrado, es posible que el intruso pueda obtener acceso a todos los datos del disco duro. Esa información podría incluso ser utilizada para comprometer toda la red. Aunque el cifrado no impide que se roben los datos, puede protegerlos e impedir que se utilicen en el caso de que se pongan en peligro.

o El nivel final lo constituyen los datos. Los sistemas de equipos almacenan, procesan y ofrecen datos. Cuando los datos se procesan en un formato con significado, se convierten en información útil.

o Los datos sin formato y la información que se almacena en un sistema son objetivos de un posible ataque. El sistema mantiene los datos en medios de almacenamiento masivo, generalmente en un disco duro.

o Todas las versiones recientes de Microsoft Windows admiten varios sistemas de archivos para almacenar y tener acceso a los archivos en un disco. Uno de estos sistemas, NTFS, se puede utilizar en Microsoft Windows NT®, Windows 2000, Windows XP y Microsoft Windows Server™ 2003. Proporciona tanto permisos de archivo como de carpeta para ayudar a proteger los datos.

o NTFS admite características adicionales, como la auditoría y el Sistema de archivos de cifrado (EFS, Encrypting File System), que se utilizan para implementar la seguridad en los datos.

o Los intrusos que obtienen acceso a un sistema de archivos pueden hacer un daño enorme u obtener gran cantidad de información. Pueden ver archivos de datos y documentos, algunos de los cuales tal vez contengan información confidencial. También pueden cambiar o quitar la información, pudiendo ocasionar varios problemas a una organización.

o El servicio de directorio Active Directory utiliza los archivos del disco para almacenar la información del directorio. Estos archivos se almacenan en una ubicación predeterminada cuando el sistema se promueve a controlador de dominio. Como parte del proceso de promoción, es aconsejable almacenar los archivos en algún lugar diferente de la ubicación predeterminada porque de este modo quedarían ocultos de los intrusos. Dado que los nombres de los archivos son conocidos (tienen el nombre de archivo NTDS.dit), si únicamente se reubican, es probable que sólo se consiga entorpecer el trabajo del intruso. Si los archivos de directorio se ven comprometidos, todo el entorno del dominio queda expuesto al riesgo.

o Los archivos de aplicación también se almacenan en disco y están expuestos a un ataque, con lo que se ofrece a los intrusos la oportunidad de interrumpir la aplicación o manipularla con fines malintencionados.

o EFS permite el cifrado de los archivos cuando residen en el sistema de archivos. Se basa en el formato NTFS del disco, que

1. 2. 6

está disponible desde Windows 2000. Es importante entender que EFS no cifra los archivos mientras se están transmitiendo a través de una red. El proceso de cifrado utiliza una clave para cifrar el archivo y la tecnología de claves pública y privada para proteger dicha clave.

o NTFS también proporciona seguridad en los archivos y en las carpetas. De este modo, se permite la creación de listas de control de acceso para definir quién ha obtenido acceso a un archivo y qué acceso tiene.

o El aumento de la protección del nivel de datos debe incluir una combinación de listas de control de acceso y cifrado. Al cifrar un archivo, únicamente se impide la lectura no autorizada; no se evita ninguna acción que no requiera la lectura del archivo, como la eliminación. Para impedir la eliminación, utilice listas de control de acceso.

o Puesto que los datos son esenciales en muchos negocios, es importante que su recuperación sea un proceso conocido y probado. Si se realizan copias de seguridad con regularidad, cualquier alteración o eliminación de datos, ya sea accidental o malintencionada, puede recuperarse a partir de las copias de seguridad cuando corresponda. Un proceso confiable de copia de seguridad y restauración es vital en cualquier entorno. Además, se deben proteger las cintas de copia de seguridad y restauración. Las copias de las cintas de copia de seguridad y restauración se deben mantener en otro lugar, es decir, en una ubicación segura. El acceso no autorizado a las cintas de copia de seguridad es igual de dañino que infringir la seguridad física de la infraestructura.

o Las listas de control de acceso sólo funcionan en documentos dentro del sistema de archivos para el que se hayan habilitado. Una vez que se han copiado los documentos a otra ubicación (por ejemplo, a la unidad de disco duro local de un usuario), no se sigue controlando el acceso. Windows Rights Management Services (RMS), que se incluye con Windows Server 2003, mueve la función de control de acceso al propio objeto de forma que dicho control se aplica independientemente de dónde se almacene el documento físico. RMS también ofrece a los creadores de contenido un mayor control sobre las acciones particulares que un usuario tiene permitido llevar a cabo; por ejemplo, el destinatario puede tener concedido acceso para leer un documento, pero no para imprimir o copiar y pegar. En el correo electrónico enviado con Microsoft Office Outlook® 2003, el remitente del mensaje puede impedir que los destinatarios reenvíen el mensaje.

1.4.Recomendaciones para los servidores de aplicaciones

1. 2. 7

Cap6-03.jpg

Tenga en cuenta que la seguridad de las aplicaciones depende de otros niveles de la estrategia de defensa en profundidad. A continuación se enumeran los elementos más importantes de la defensa que deben aplicarse a todos los servidores de aplicaciones:

o Configure el sistema operativo para que sea seguro.o Aplique una configuración de seguridad de línea de base a todos

los servidores integrantes, mediante la plantilla de seguridad Member Server Baseline (Línea de base de servidor integrante) que se proporciona en la Guía de seguridad de Windows Server 2003 (Windows Server 2003 Security Guide). A continuación, aplique las plantillas incrementales que correspondan a la función de servidor específica. La Guía de seguridad de Windows Server 2003 se puede encontrar en http://www.microsoft.com/technet/security/prodtech/win2003/w2003hg/sgch00.asp (este sitio está en inglés).

o Aplique las revisiones de las aplicaciones y del sistema operativo. Los Service Packs aumentan la seguridad y estabilidad del sistema operativo. La mayor parte de los ataques contra los servidores se aprovechan de los puntos débiles que se han comunicado anteriormente y se corrigen en un Service Pack o en una revisión de seguridad del sistema operativo. Los equipos que no tienen instalados el Service Pack y las revisiones de seguridad más recientes son vulnerables.

1. 2. 8

o Instale únicamente los servicios necesarios. Si reduce el número de servicios que se ejecutan en un servidor, puede disminuir la exposición del mismo a ataques de seguridad.

o Asigne únicamente los permisos necesarios para realizar las tareas requeridas. Se debe conceder a cada administrador los menores permisos posibles que le permitan realizar sus tareas administrativas.

o Las cuentas de servicios de aplicaciones sólo deben tener los privilegios que necesiten. Por ejemplo, si pueden ejecutarse como Servicio de red en vez de como Sistema local, deben hacerlo así.

o Considere otros elementos de la defensa en profundidad. La estrategia de seguridad de defensa en profundidad utiliza varios niveles de protección. Si un nivel se ve comprometido, ello no implica que se comprometa todo el sistema.

o Una vez que haya aplicado estas prácticas, pase a los siguientes niveles de defensa para proteger servidores de aplicaciones específicos, como Exchange Server, SQL Server y Small Business Server.

1. 2. 9

2. Protección de Exchange Server

En este tema, aprenderá cómo proteger Microsoft Exchange Server. Se tratará:

Dependencias de seguridad de Exchange Seguridad en los servidores Exchange Aspectos de seguridad en Exchange Server Configuración de la autenticación Seguridad en las comunicaciones Cifrado de un mensaje Bloqueo del correo no deseado en Exchange 2000 Bloqueo del correo no deseado en Exchange 2003 Bloqueo de mensajes no seguros Uso de permisos para proteger Exchange Mejoras en Exchange Server 2003 Defensa en profundidad Diez acciones que debe realizar ahora para proteger Exchange Server

2.1.Dependencias de seguridad de Exchange

La seguridad de Exchange depende de:

o La seguridad del sistema operativoo La seguridad de la redo La seguridad de IIS (si se utiliza OWA)o La seguridad del cliente (Outlook)o La seguridad de Active Directory

Cap6-04.jpg

Cap6-05.jpg

o Su objetivo para proteger un entorno de Exchange es restringir el acceso lo máximo posible sin que las funciones de Exchange se vean afectadas.

o Cuando considere cómo aumentar la seguridad de Exchange, recuerde que éste depende de varios procesos que se comunican entre sí en equipos locales y remotos. Por ejemplo, IIS forma parte integral de la función Outlook® Web Access (OWA) de Exchange.

1. 2. 10

Este conjunto de complicadas relaciones implica que al intentar bloquear los servidores Exchange, debe considerar muchos componentes diferentes y tener en mente el concepto de defensa en profundidad. Entre estos componentes se hallan:

Seguridad del sistema operativo subyacente, incluida la del sistema de archivos.

Seguridad de la red, por ejemplo, el cifrado de datos. Seguridad de IIS. OWA utiliza IIS para proporcionar acceso

Web a los usuarios de Exchange. Seguridad de los clientes. La protección de los datos en el

servidor no resulta efectiva si se pueden ver comprometidos en los equipos cliente.

Seguridad de Active Directory. Exchange almacena información crucial acerca de Exchange, por ejemplo, la de buzones.

Seguridad de Exchange Server: un buen ejemplo de defensa en profundidad. Tiene que proteger varios componentes para lograr una seguridad efectiva.

2.2.Seguridad en los servidores Exchange

Servidores de servicios de fondo de Exchange 2000o Aplique la plantilla de seguridad de línea de base y la plantilla

incremental de servicios de fondo de Exchange Servidores de aplicaciones para usuario de Exchange 2000

o Aplique la plantilla de seguridad de línea de base y la plantilla incremental de aplicaciones para usuario de Exchange

o Desmonte los almacenes privados y públicos Servidor OWA de Exchange 2000

o Aplique Bloqueo de seguridad de IIS, incluido URLScan Servidor de servicios de fondo de Exchange 2003

o Aplique plantillas de seguridad de protocolo Servidor OWA y de aplicaciones para usuario de Exchange 2003

o Bloqueo de seguridad de IIS y URLScan integrados con IIS 6.0o Utilice el modo de aislamiento de aplicaciones

Una de las herramientas que puede utilizar para proteger los servidores Exchange son las plantillas de seguridad basadas en funciones de los servidores. Las plantillas de seguridad se han diseñado para proteger los servidores Exchange, de acuerdo con su función en la infraestructura de Exchange.

En el servidor de servicios de fondo de Exchange 2000, aplique la plantilla de seguridad de línea de base para los servidores integrantes de Windows 2000 y, a continuación, agregue la plantilla incremental de servicios de fondo de Exchange.

En el servidor de aplicaciones para usuario de Exchange 2000, aplique la plantilla de seguridad de línea de base para los servidores integrantes de

1. 2. 11

Windows 2000 y, a continuación, agregue la plantilla incremental de aplicaciones para usuario de Exchange. Además, desmonte y elimine los almacenes públicos y privados, a menos que se trate de un servidor de puerta de enlace SMTP.

En el servidor OWA de Exchange 2000, ejecute la herramienta Bloqueo de seguridad de IIS con URLScan. Ésta es la forma más sencilla de reducir la parte del servidor OWA de Exchange que queda expuesta a ataques.

En el servidor de servicios de fondo de Exchange 2003, aplique la plantilla de seguridad de línea de base de Windows Server 2003 y, a continuación, aplique las plantillas de protocolo según convenga.

En los servidores Exchange 2003 y OWA, aplique Bloqueo de seguridad de IIS con URLScan 2.5 como parte integral de IIS 6. Los componentes de servidor Exchange se deben ejecutar en el modo de aislamiento de aplicaciones.

En los controladores de dominio con Exchange, aplique la plantilla de línea de base de controladores de dominio (BaselineDC.inf) de la Guía de seguridad de Windows Server 2003, y después aplique la plantilla incremental de controladores de dominio de Exchange. Esta plantilla aumenta la secuencia de comandos de controladores de dominio de línea de base para abordar los requisitos específicos de Exchange.

Información adicional:

Para obtener más información sobre las plantillas de seguridad para Exchange 2000, consulte el capítulo 3 de la Guía de operaciones de seguridad para Exchange 2000 Server (Security Operations Guide for Exchange 2000 Server): http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/prodtech/mailexch/opsguide/e2ksec03.asp (este sitio está en inglés).

2.3.Aspectos de seguridad en los servidores Exchange

Seguridad del acceso a los servidores Exchangeo Bloqueo del acceso no autorizado

Seguridad en las comunicacioneso Bloqueo y cifrado de las comunicaciones

Bloqueo del correo no deseadoo Filtrado del correo entranteo Restricciones de la retransmisión: no ayude a los sistemas de

envío de correo no deseado Bloqueo de los mensajes de correo electrónico no seguros

o Detección de viruso Bloqueo de los archivos adjuntos

Cuando planee su implementación de seguridad, considere todos los aspectos de la protección de los servidores Exchange.

Para proteger el acceso a los servidores Exchange, bloquee el acceso no autorizado a los mismos y a su información.

1. 2. 12

Asimismo, debe cifrar las comunicaciones entre los clientes Exchange y el servidor Exchange. Esto es especialmente importante para el proceso de autenticación, que puede transmitir contraseñas a través de una red. Al bloquear las comunicaciones en los puertos que no son necesarios para Exchange, se protege al servidor contra ataques basados en la red.

Es importante bloquear el correo no deseado, no sólo porque es irritante sino también debido al riesgo que supone. Para ello, filtre el correo entrante e impida la retransmisión no autorizada. Al permitir la retransmisión de los mensajes de correo, facilita el trabajo de los sistemas de envío de correo no deseado y aumenta la carga de trabajo de su servidor.

Por último, debe bloquear todos los mensajes de correo electrónico no seguros mediante la detección de virus y el bloqueo de archivos adjuntos. La detección de virus puede bloquear el correo electrónico que contenga virus conocidos. El bloqueo de los archivos adjuntos puede impedir la recepción de todos los tipos de archivos adjuntos que puedan ser peligrosos, como los archivos de programa.

2.4.Configuración de la autenticación - Parte 1

Proteja la autenticación de los clientes Outlook Configure Exchange y Outlook 2003 para utilizar RPC sobre HTTPS Configure SPA para cifrar la autenticación para los clientes de protocolos

Internet

Cap6-06.jpg

Uno de los elementos más importantes para proteger Exchange es garantizar la seguridad de la autenticación de los clientes. Los clientes de Microsoft Outlook utilizan métodos de autenticación seguros de Windows cuando se conectan a un servidor Exchange mediante el protocolo Llamada a procedimiento remoto (RPC, Remote Procedure Call), que es el protocolo nativo para las comunicaciones entre Outlook y Exchange.

Exchange Server 2003 y Outlook 2003 también admiten RPC sobre HTTPS. Al configurar el sistema para utilizar esta opción, los usuarios pueden emplear todo el cliente Outlook para conectar al servidor Exchange con HTTPS. Después, todo el tráfico entre el cliente Outlook y el servidor proxy RPC, incluido el tráfico de autenticación de usuarios, se cifra con SSL. Outlook 2003 también admite la autenticación de Kerberos, que garantiza que la contraseña del usuario nunca se envíe a través de la red.

El servidor Exchange admite el uso de Autenticación de contraseña segura (SPA, Secure Password Authentication) para cifrar el tráfico de autenticación.

1. 2. 13

La utilización de SPA elimina un problema común de seguridad que es inherente al uso de protocolos de correo estándar de Internet para conectar a un servidor de correo: SMTP para enviar correo electrónico y POP e IMAP para recuperarlo. Ninguno de estos protocolos dispone de un método estándar para cifrar el tráfico de autenticación, y los nombres y contraseñas de los usuarios se envían en texto sin cifrar, por lo que un fisgón o espía podría interceptarlos en Internet.

Para utilizar SPA, los clientes deben admitir este tipo de autenticación y tanto el cliente como el servidor se deben configurar para emplearlo. Las aplicaciones Microsoft Outlook y Microsoft Outlook Express admiten SPA.

o Recuerde que SPA protege el tráfico de autenticación entre un cliente y un servidor, pero no protege el cifrado de los datos de los mensajes que se envían entre ellos. Para cifrar los datos, se puede utilizar POP o IMAP sobre SSL.

2.5.Configuración de la autenticación - Parte 2

OWA admite varios métodos de autenticación:

Cap6-07.jpg

Método de autenticación Consideraciones

Autenticación básica No segura, a menos que requiera SSL

Autenticación integrada Compatibilidad limitada en los clientes,

problemas con servidores de seguridadAutenticación de texto implícita

Compatibilidad limitada en los clientes

Autenticación basada en formularios

Capacidad de personalizar la autenticación

Amplia compatibilidad con clientes Disponible con Exchange Server 2003

1. 2. 14

o OWA permite a los usuarios el acceso al correo electrónico de un servidor Exchange desde un explorador Web.

o Al configurar OWA, elegirá entre cuatro métodos de autenticación que ofrecen diferentes grados de protección.

Con la autenticación básica sobre una conexión HTTP, los nombres de usuario y las contraseñas atraviesan Internet sin cifrar. En consecuencia, debe configurar el servidor OWA para que acepte únicamente las conexiones sobre SSL. SSL cifra todas las comunicaciones entre un explorador Web y un servidor OWA, incluido el tráfico de autenticación.

La autenticación integrada proporciona una forma segura de autenticación. Los nombres de usuario y las contraseñas nunca se transmiten a través de Internet. La autenticación integrada sólo se utiliza en Internet Explorer y podría no funcionar cuando el tráfico de autenticación se envía a través de ciertos servidores de seguridad.

La autenticación de texto implícita es una forma de autenticación basada en estándares que proporciona una seguridad similar a la autenticación integrada. Se puede utilizar en versiones recientes de los exploradores pero las versiones anteriores podrían no admitir este tipo de autenticación.

La autenticación basada en formularios es una característica nueva de Exchange Server 2003 que permite a un usuario proporcionar sus credenciales en un formulario que se muestra como parte de una página Web. Cada organización puede personalizar esta página Web. La autenticación basada en formularios permite a un administrador configurar la desconexión automática de los clientes después de un período de inactividad.

2.6.Seguridad en las comunicaciones

Configure el cifrado RPCo Configuración en el clienteo Aplicación con el paquete de características 1 de ISA Server

Bloquee el servidor de seguridado Publicación del servidor de correo con ISA Server

Configure HTTPS para OWA Utilice S/MIME para el cifrado de los mensajes Mejoras de Outlook 2003

o Autenticación de Kerberoso RPC sobre HTTPS

Hay varias medidas que puede adoptar en Outlook 2002 y Outlook 2003 a fin de aumentar la seguridad de las comunicaciones. Por ejemplo: 1. 2. 15

Cifrar la conexión MAPI de Outlook al servidor Exchange, lo que significa que se cifran todas las comunicaciones entre un cliente Outlook y un servidor Exchange. Las conexiones MAPI utilizan el protocolo Llamada a procedimiento remoto, que admite el cifrado de forma nativa. El cifrado de RPC se debe configurar en el cliente. Si se trata de un entorno no administrado, los usuarios pueden cambiar esta configuración y deshabilitar el cifrado.

Si utiliza Microsoft ISA Server 2000 con el paquete de características 1 (Feature Pack 1), con objeto de que el servidor Exchange esté disponible para los clientes Outlook mediante la publicación en el servidor, puede configurar ISA Server de modo que exija el cifrado y bloquee todo el tráfico RPC sin cifrar.

Puede utilizar servidores de seguridad para proteger el tráfico entre los servidores y los clientes de correo. La publicación en servidores de correo de ISA Server garantiza que únicamente el tráfico de correo electrónico permitido de Internet llegue al servidor Exchange y que el tráfico SMTP, POP y Web no sirva como medio para ataques del nivel de aplicación contra el servidor de correo.

Si utiliza OWA, configure SSL para asegurarse de que se cifran todas las comunicaciones entre los clientes y el servidor de correo.

o Si tiene que cifrar las comunicaciones de modo que sólo el destinatario deseado pueda leerlas o si debe firmar el correo electrónico, considere implementar S/MIME, que utiliza criptografía de clave pública para firmar y cifrar los mensajes. El uso de S/MIME requiere que configure una infraestructura de clave pública (PKI, Public Key Infrastructure).

Información adicional:

Para obtener más información acerca de cómo proteger las comunicaciones, consulte “Securing Exchange Communications” en http://www.microsoft.com/technet/security/prodtech/mailexch/opsguide/e2ksec04.asp (este sitio está en inglés).

2.7.Cifrado de un mensaje

1. 2. 16

Cap6-08.jpg

El servidor Exchange permite cifrar los mensajes que envía a otros destinatarios para mantener la confidencialidad. A continuación puede ver lo que sucede cuando envía un mensaje que se ha cifrado con S/MIME:

1. Se crea un mensaje nuevo y se le asigna destinatario. El remitente especifica que el mensaje se debe enviar cifrado.

2. Se inicia una búsqueda de Active Directory para localizar el certificado del usuario de destino, que contiene la clave pública.

3. El mensaje se cifra con una clave compartida. Específicamente, se genera y se cifra una clave compartida con la clave pública del destinatario. A continuación, se envían tanto la clave como el mensaje cifrados.

4. Cuando el mensaje se envía de un servidor al otro, se encapsula en un archivo adjunto MIME seguro que contiene los datos cifrados. El asunto se queda sin cifrar.

5. El mensaje llega cifrado al buzón de destino.6. Cuando el destinatario abre el mensaje, la clave compartida

se descifra automáticamente con la clave privada almacenada de forma local que corresponde a la clave pública utilizada para cifrar el mensaje. A continuación se utiliza la clave compartida para descifrar el mensaje.

2.8.Bloqueo de correo no deseado en Exchange 2000

1. 2. 17

Cierre las retransmisiones abiertas Protéjase de la suplantación de direcciones Impida que Exchange resuelva los nombres de destinatario en cuentas

GAL Configure búsquedas DNS inversas

o Los mensajes comerciales de correo electrónico no solicitados (spam o correo no deseado) son algo más que una molestia. Sus efectos pueden llegar a resultar problemáticos si los equipos Exchange Server se utilizan como retransmisores de campañas de envío masivo. La mayor parte del correo no deseado se envía retransmitiendo los mensajes a través de servidores SMTP que permiten la retransmisión sin autenticación. La retransmisión significa que un servidor de correo acepta mensajes para entregarlos aunque el destinatario deseado se encuentre en otra organización. En la mayor parte de los casos, puede bloquear toda la retransmisión para impedir esto, pero si los usuarios requieren esta capacidad, puede configurar el servidor de correo para retransmitir los mensajes únicamente de los usuarios autorizados.

o Una de las formas más comunes de atacar un sistema de correo electrónico es manipular el campo De: en los mensajes de correo electrónico. El Protocolo simple de transferencia de correo (SMTP, Simple Mail Transfer Protocol) no comprueba la identidad del usuario pero se pueden realizar algunas acciones en Exchange para disminuir la suplantación de mensajes. Por ejemplo, al adjuntar firmas digitales cuando se envía un mensaje se garantiza que éste no haya sido modificado una vez enviado.

o Uno de los problemas más insidiosos de la suplantación de direcciones es que los intrusos externos utilizan la dirección de un usuario interno. La suplantación de direcciones se puede emplear de varias formas. Por ejemplo, la dirección falsa se suele utilizar para convencer a otro usuario de que una solicitud de información es legítima a fin de que conteste con información confidencial. De este modo, se posibilita un ataque posterior.

o De forma predeterminada, Exchange 2000 resolverá una dirección de correo electrónico en su libreta de direcciones con el nombre almacenado en la Lista global de direcciones (GAL, Global Address List). Esto dificulta determinar si un mensaje se ha originado en realidad fuera de la organización. Puede cambiar el comportamiento predeterminado de modo que el correo que provenga de fuera de la organización siempre quede sin resolver. A continuación, debe instruir a los usuarios para que examinen las direcciones de correo electrónico sin resolver a fin de protegerse frente a esta forma de suplantación de direcciones. En Exchange 2003, el comportamiento predeterminado ha cambiado. Exchange 2003 no resuelve la dirección de correo electrónico en un nombre GAL.

o También puede configurar Exchange Server para rechazar los mensajes de correo que se originen en un servidor SMTP que no

1. 2. 18

pertenezca al dominio desde el que el mensaje parece provenir. Para ello, configure Exchange Server de modo que realice búsquedas DNS inversas para las conexiones SMTP entrantes.

Información adicional:

o Para obtener más información sobre cómo utilizar la búsqueda DNS inversa, consulte el artículo de Microsoft Knowledge Base (Base de conocimiento) 31935, “Impedir que Exchange 2000 se utilice para retransmitir correo en Windows 2000”, enhttp://support.microsoft.com/default.aspx?scid=kb;es;310380 .

o Para obtener más información sobre cómo asegurarse de que el correo que proviene de afuera de la organización de Exchange se quede sin resolver, consulte el artículo de Microsoft Knowledge Base (Base de conocimiento) 288635, "XIMS: ResolveP2 Functionality in Exchange 2000 Server", enhttp://support.microsoft.com/default.aspx?scid=kb;en-us;288635(Este sitio está en inglés).

o Para obtener más información sobre características para evitar el correo no deseado, consulte el artículo de Microsoft Knowledge Base (Base de conocimiento) 288635, “XIMS: ResolveP2 Functionality in Exchange 2000 Server", en http://support.microsoft.com/default.aspx?scid=kb;en-us;288635(Este sitio está en inglés).

2.9.Bloqueo de correo no deseado en Exchange 2003

Utilice características adicionales en Exchange Server 2003

o Compatibilidad con listas de bloqueo en tiempo realo Listas globales de direcciones rechazadas y aceptadaso Filtrado de destinatarios entrantes y remitenteso Protección mejorada contra la retransmisióno Integración con Outlook 2003 y filtrado de correo no deseado de

terceros

Exchange Server 2003 mejora estas características al agregar mecanismos de protección contra el correo no deseado:

o Una lista de bloqueo en tiempo real es una lista de direcciones IP de orígenes conocidos de correo no deseado. Estas listas incluyen la dirección de origen así como los servidores configurados para la retransmisión abierta o listas de cuentas de usuarios de acceso telefónico. Las listas de bloqueo en tiempo real son mantenidas por

1. 2. 19

terceros. Para habilitar esta funcionalidad, configure el servidor Exchange 2003 para suscribirse al proveedor.

o Los administradores de Exchange 2003 pueden mantener listas globales de elementos aceptados y rechazados donde se especifican las direcciones IP de envío para los mensajes de correo electrónico a los que siempre se les concede o se les deniega el acceso. Las direcciones IP de los clientes y socios de confianza se pueden mantener en la lista de elementos aceptados para facilitar el acceso. En la lista de direcciones rechazadas se pueden incluir aquellas a las que no se desee permitir el acceso. Puede utilizar esta lista para bloquear las conexiones de los servidores de los que no desee recibir correo electrónico.

o El filtro de remitentes de Exchange se puede configurar para filtrar los destinatarios y los remitentes. A continuación, el filtro examinará la dirección De en cada mensaje de correo electrónico entrante y la comparará con la lista de remitentes bloqueados. Si se encuentra una coincidencia, Exchange se puede configurar para rechazar la conexión o archivar el mensaje. Los administradores pueden establecer el filtrado de destinatarios para bloquear los mensajes de correo electrónico dirigidos a destinatarios no válidos (las direcciones que no están presentes en el servicio de directorio Active Directory® de Windows) o a direcciones restringidas.

o En Exchange 2003, se han mejorado los mecanismos de protección contra la retransmisión. Ahora es posible especificar grupos de usuarios a los que se les permite enviar mensajes de correo electrónico a los servidores virtuales SMTP. Esto ayuda a impedir que el tráfico no deseado utilice Exchange. Por ejemplo, un sistema de envío de mensajes no deseados puede aprovecharse de los servidores para retransmitir los mensajes y enviar el correo a través de ellos, creando así la apariencia de que los mensajes se han originado en dichos servidores.

o Exchange 2003 se integra ahora con Outlook 2003 y ha mejorado su integración con productos de terceros que evitan el correo no deseado. Outlook 2003 se ha diseñado para ayudar a bloquear una gran parte del correo electrónico no deseado que los usuarios reciben cada día. Estas características permiten a los usuarios controlar los mensajes que reciben y de quién. Outlook 2003 proporciona un conjunto de características diseñadas para trabajar con Exchange 2003 que ayudan a proteger del correo no deseado a los usuarios.

Información adicional:

Para obtener más información sobre características de Exchange Server 2003 para impedir el correo no deseado, consulte el sitio Web de Microsoft en http://www.microsoft.com/exchange/techinfo/security/antispam.asp .

1. 2. 20

2.10. Bloqueo de mensajes no seguros

Implemente puertas de enlace antiviruso Supervise los mensajes entrantes y salienteso Actualice las firmas con frecuencia

Configure la seguridad en los archivos adjuntos de Outlooko La seguridad del explorador Web determina si los archivos

adjuntos se pueden abrir en OWA Implemente ISA Server

o Message Screener puede bloquear los mensajes entrantes

Los virus transmitidos a través del correo electrónico constituyen una amenaza significativa para su entorno. Los virus del correo electrónico pueden atacar los sistemas informáticos por sí mismos o pueden atacar el entorno de correo al inundar el sistema con mensajes hasta el punto de sobrecargarlo. Protéjase contra los virus en el servidor de seguridad o en la puerta de enlace SMTP o fuera de ella, en cada servidor Exchange y en cada cliente.

Las puertas de enlace antivirus que se instalan en un servidor Exchange pueden bloquear los mensajes infectados que se envían al servidor de correo y eliminarlos, o conservarlos para que un administrador los examine. Para impedir la expansión de los virus, es importante que examine tanto los mensajes entrantes como los salientes. Puesto que las amenazas de virus cambian con frecuencia, es esencial que actualice sus firmas de virus a menudo.

En el cliente, Outlook XP y Outlook 2003 bloquean muchos tipos de archivos adjuntos e impiden que sean vistos y, de ese modo, dañen al entorno. Puede aplicar seguridad a los archivos adjuntos de Outlook si configura sus opciones de forma centralizada en Exchange Server. Sin embargo, si también permite el uso de OWA, tenga en cuenta que el cliente OWA no bloqueará estos archivos adjuntos. En cambio, OWA depende de la configuración de seguridad del explorador Web. También puede configurar opciones para ver los archivos adjuntos en el servidor Exchange. Por ejemplo, podría permitir que se vean los archivos adjuntos si el acceso se realiza a través de Outlook y deshabilitar su visualización si se efectúa a través de OWA.

ISA Server 2000 incluye el componente Message Screener, que actúa junto con ISA Server y el servidor Exchange para bloquear los mensajes entrantes en función del tamaño, el tipo de archivo adjunto, el remitente o una palabra clave. De este modo se asegura de que los mensajes que considera no seguros nunca sean procesados por el servidor Exchange y no lleguen a sus destinatarios.

Información adicional:

Para obtener más información sobre cómo protegerse contra los ataques de virus y lo que se debe hacer en el caso de un incidente, consulte “Microsoft Exchange 2000 Server Operations” en 1. 2. 21

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/exchange/exchange2000/maintain/operate/opsguide/default.asp .

2.11. Uso de permisos para proteger Exchange

Cap6-09.jpg

Un elemento importante a la hora de proteger los servidores de correo es decidir cómo administrarlos. Exchange Server permite utilizar un modelo de administración centralizado o distribuido.

La administración centralizada es el modelo más sencillo y no requiere ninguna configuración especial.

La administración centralizada implica permitir que administradores diferentes se ocupen de los distintos componentes de una organización de Exchange.

Cuando delega los permisos para administrar Exchange, puede crear grupos administrativos independientes. Un grupo administrativo es una colección de objetos de Exchange que se recopilan con el fin de administrar los permisos. Un grupo administrativo puede contener directivas, grupos de enrutamiento, jerarquías de carpetas públicas, servidores y, en Exchange 2000, objetos de conferencia y redes de charla.

Si su organización tiene dos grupos de administradores que gestionan dos conjuntos de servidores donde se ejecuta Exchange, puede crear dos grupos administrativos que contengan los dos conjuntos de servidores. Según el modelo administrativo que se utilice en la organización, puede desarrollar un plan administrativo que se ajuste a sus necesidades. A continuación, puede delegar el control administrativo si asigna funciones administrativas diferentes a las cuentas o grupos de usuarios.

Cuando defina los permisos para Exchange, considere los permisos que requieren los administradores de Exchange y asígneles únicamente los permisos necesarios. Para simplificar el proceso, Exchange 2000 utiliza funciones administrativas. Exchange 2000 y Exchange Server 2003 admiten tres funciones administrativas:

1. 2. 22

Administrador total de Exchange: permiso para modificar todos los componentes y permiso para realizar cambios

Administrador de Exchange: permiso para modificar todos los componentes pero no para realizar cambios

Administrador con permiso de vista de Exchange: permiso para ver objetos

La forma más sencilla de asignar permisos a grupos administrativos (y a la organización de Exchange) consiste en utilizar el Asistente para delegar la administración de Exchange.

Información adicional:

Para obtener más información sobre cómo utilizar permisos para proteger Exchange, consulte “Microsoft Exchange 2000 Server Operations Guide” en http://www.microsoft.com/technet/prodtechnol/exchange/exchange2000/maintain/operate/opsguide/default.asp (este sitio está en inglés).

2.12. Mejoras en Exchange Server 2003

Muchas configuraciones son seguras de forma predeterminada Permisos más restrictivos Nuevas características de transporte de correo Nuevo Asistente para conexión a Internet Compatibilidad con la autenticación entre bosques

Además de las mejoras explicadas anteriormente en este capítulo, Exchange Server 2003 contiene numerosas mejoras de seguridad.

Muchas configuraciones siguen un diseño seguro de forma predeterminada:

La retransmisión está desactivada de forma predeterminada. Hay un límite predeterminado de mensajes de 10 MB para el

envío, recepción y puertos en carpetas públicas. El grupo Usuarios de dominio no tiene permiso para iniciar

sesión en servidores Exchange 2003. POP, IMAP y NNTP están desactivados de forma

predeterminada en las instalaciones nuevas. La configuración permanece sin cambios al actualizar.

Outlook Mobile Access (OMA) está desactivado de forma predeterminada en todas las instalaciones.

Los cambios de contraseña de OWA están desactivados de forma predeterminada.

1. 2. 23

Muchos permisos son más restrictivos de forma predeterminada. Algunos de estos cambios son los siguientes:

Los servicios se ejecutan como Servicio local. Los permisos del grupo Servidores de dominio de Exchange

son más restrictivos. (Precaución: estos permisos podrían interrumpir el funcionamiento de ExMerge o de otras aplicaciones que utilicen EDS).

Solución para el problema de los permisos de reinstalación en clúster.

Exchange Server 2003 incluye nuevas características de transporte de correo seguro:

RPC sobre HTTP es un nuevo protocolo de cliente. IPSec se puede habilitar en los clústeres de Exchange. Puede utilizar la autenticación de Kerberos para las

conexiones de cliente MAPI (Outlook).

Hay un nuevo Asistente para conexión a Internet que hace que sea casi imposible configurar una conexión a Internet en Exchange de una manera que no sea segura.Se admite la autenticación entre bosques.Nota: sólo puede haber una organización de Exchange por cada bosque.

2.13. Defensa en profundidad

1.

Eficiencia Continuidad

Ajuste del rendimientoSistema ExchangeDirectivasAdministración de la capacidad

Seguridad

AlmacenamientoAdministración

Actualizaciones de hardware

RendimientoSupervisión

Recuperación ante desastres

Soporte técnicoAntivirus

Supervisión de sucesosAdministración

de cambios

Directivas de seguridadAspectos relativos a los servidores de

seguridadDirectivas del sistema Exchange

Pertenencia a grupos de Active Directory

SAIPruebas de la recuperaciónSupervisión de la disponibilidadAdministración de la disponibilidad

Directivas de grupo

Copia de seguridad

2. 24

(opcional) Cap6-grafico.jpg

o La seguridad de Exchange conlleva un conjunto de tareas que ejemplifica la estrategia de defensa en profundidad. Requiere llegar a un equilibrio entre varios objetivos: la seguridad y la eficacia y continuidad del negocio.

o Aunque esto parezca una tarea abrumadora, puede hacer varias cosas inmediatamente para proteger un servidor. En la diapositiva siguiente se resaltan algunas de las acciones que puede realizar para mejorar la seguridad de la mensajería de forma significativa.

2.14. Diez principios fundamentales para proteger Exchange

Cap6-10.jpg

o Los tres primeros elementos de esta lista son recomendaciones que se aplican a todos los servidores. Siempre debe asegurarse de aplicar las revisiones apropiadas al software. Microsoft Baseline Security Analyzer (MBSA) puede ayudarle a determinar qué actualizaciones aplicar y qué otros puntos vulnerables debe corregir. La mayor parte de los ataques que consiguen su objetivo se sirven de puntos vulnerables que se conocen desde hace tiempo.

1. 2. 25

o Puesto que los sistemas de envío de correo no deseado utilizan herramientas automatizadas para enviar correo a los servidores que permiten la retransmisión, no configure nunca su servidor para permitir la retransmisión sin autenticación. Será sólo cuestión de horas o días que un servidor de correo configurado incorrectamente sea utilizado por dichos sistemas. Como los sistemas de envío de correo no deseado podrían intentar tener acceso a su servidor de correo mediante las cuentas integradas Invitado o Administrador, compruebe que dichas cuentas sean seguras. Por ejemplo, asegúrese que la cuenta Invitado está deshabilitada y cambie el nombre de la cuenta Administrador o protéjala con una contraseña muy compleja.

o Utilice una solución antivirus en niveles. El perímetro de la red es el mejor lugar para detener los virus. Dado que la mayor parte de los virus se introducen en las organizaciones a través del correo electrónico, configure una puerta de enlace que funcione junto con el servidor de correo. Sin embargo, para aumentar la seguridad, también debe implementar soluciones antivirus en los servidores Exchange y en todos los equipos cliente.

o Los servidores de seguridad pueden bloquear el acceso no autorizado a los servidores de correo y garantizar que únicamente los protocolos de correo pasen a estos servidores. Microsoft ISA Server proporciona protección avanzada en el nivel de aplicación para el tráfico de correo, incluido el tráfico de los clientes.

o Si proporciona acceso a OWA desde Internet, compruebe que OWA es seguro. Para ello, también hay que comprobar que la configuración de la autenticación de OWA proporciona una seguridad adecuada en la autenticación, así como cifrar todo el tráfico con SSL y proteger los servidores OWA con servidores de seguridad.

o Por último, se requiere una estrategia de copia de seguridad efectiva para recuperar el sistema ante un desastre que produzca pérdida de datos.

2.15. Cómo Outlook 2003 y Exchange 2003 Evalúan E-Mail Comerciales no solicitados

1. 2. 26

Los pasos siguientes describen el proceso por el cual Outlook 2003 y Exchange 2003 evalúan un mensaje de E-mail para determinar si es comercial no solicitado. Este proceso existe para mensajes de E-mail no autenticados solamente. No se aplica a los mensajes internos de E-mail. Además:

1. Cuando un mensaje de E-mail es recibido por el transporte, la dirección IP es evaluada contra las listas de aceptar o negar. Si se encuentra una coincidencia en la lista de negación, el mensaje se para en el nivel del protocolo. 2. Si la dirección IP no está en la lista de aceptar ni negar, el mensaje de E-mail es evaluado contra una lista de bloqueo. Si se encuentra en la lista de bloqueo, el mensaje se para en el nivel del protocolo. 3. El mensaje de E-mail se evalúa contra software de terceras partes, productos anti-junk, e-mail o plug-ins que se configuran en la capa de transporte. 4. El mensaje de E-mail se mueve al information store y, de acuerdo con su Nivel de Spam y cómo el usuario ha configurado el Outlook, se entrega a una carpeta o se borra.

2.16. Configuraciones Firewall para servidores Front-End y Back-End seguros

1. 2. 27

Usted debe planear la colocación y la configuración de firewalls para la seguridad de red, implementando servidores front-end y back-end. Existen cuatro localizaciones típicas para firewalls en topologías front-end y back-end server:

SA Server localizado en una red del perímetro con el servidor front-end, localizado detrás del segundo firewall. En este escenario, el ISA Server u otro proxy server reverse está situado entre dos firewalls separados. El primer firewall separa al ISA Server de Internet. El segundo firewall separa al ISA Server de la red interna de la compañía. ISA Server remite todas las peticiones entre el cliente y el servidor front-end. Dado que ISA Server solo reenvía las peticiones al servidor front-end. Los servidores back-end no se ven comprometidos. Y, porque el servidor front-end está situado en la red interna con otros servidores internos, esta configuración proporciona el mejor nivel de seguridad permitiendo que usted reduzca al mínimo los puertos que necesita abrir en el firewall interno.

Ésta es la configuración recomendada

1. 2. 28

3. Protección de SQL Server

En este tema, aprenderá cómo proteger SQL Server. Se tratará lo siguiente:

o Configuración básica de seguridado Amenazas comunes para los servidores de bases de datos y

medidas preventivaso Categorías de seguridad de los servidores de bases de datoso Seguridad de la redo Seguridad del sistema operativo o Inicios de sesión, usuarios y funcioneso Archivos, directorios y recursos compartidoso Seguridad de SQLo Auditoría de SQLo Seguridad de los objetos de base de datoso Uso de vistas y procedimientos almacenadoso Seguridad de las aplicaciones Webo Diez acciones que debe realizar ahora para proteger SQL Server

3.1.Configuración básica de seguridad

Aplique Service Packs y revisiones Utilice MBSA para detectar las actualizaciones

de SQL no aplicadas Deshabilite los servicios que no se utilicen:

o MSSQLSERVER (obligatorio)o SQLSERVERAGENTo MSSQLServerADHelpero Microsoft Searcho Microsoft DTC

Cap6-11.jpg

o Dado que hay muchas formas de atacar una base de datos, es importante utilizar una estrategia de defensa en profundidad para atenuar las amenazas.

Los ataques externos pueden aprovechar puntos débiles de la configuración que expongan el servidor de bases de datos.

Una aplicación Web no segura también puede utilizarse para llegar a la base de datos.

o Las amenazas internas también se deben considerar. Una amenaza interna puede ser un administrador con dudosas

1. 2. 29

intenciones que tenga acceso a la red o un usuario de la base de datos al que se ha engañado para que ejecute código peligroso.

o Para atenuar estas amenazas: Utilice MBSA para detectar las actualizaciones necesarias

de Windows y SQL Server que puedan no haberse aplicado. o Durante la instalación de un servicio de SQL, se instalan los cuatro

servicios de Windows siguientes: MSSQLSERVER (o MSSQL$NombreDeInstancia para una

instancia con nombre). Se trata del motor de base de datos de SQL Server y es el único servicio obligatorio.

SQLSERVERAGENT (o SQLAgent$NombreDeInstancia para una instancia con nombre). Con este servicio de soporte técnico, puede programar comandos y notificar a los operadores cuando se produzcan errores.

MSSQLServerADHelper. Proporciona servicios de integración de Active Directory, por ejemplo, el registro de instancias de base de datos.

Microsoft Search. Proporciona capacidades de búsqueda de texto. Este servicio siempre se debe ejecutar en la cuenta del sistema local.

Sólo se requiere el motor de base de datos MSSQLSERVER. Los demás servicios proporcionan funciones adicionales y únicamente se requieren en determinados casos. Deshabilite estos servicios si no son necesarios.

o Nota: si no utiliza transacciones distribuidas a través de Microsoft DTC, deshabilite el servicio.

Información adicional:

o Para obtener más información sobre cómo aplicar Service Packs, hotfix y revisiones de seguridad, consultehttp://www.microsoft.com/technet/security/bestprac/bpsp.asp(este sitio está en inglés).

o Para obtener más información sobre configuraciones básicas de seguridad, consulte http://msdn.microsoft.com/library/en-us/dnnetsec/html/THCMCh18.asp (este sitio está en inglés).

3.2.Amenazas comunes para los servidores de bases de datos y medidas preventivas

1. 2. 30

Cap6-12.jpg

Un intruso puede centrar su interés en un servidor de bases de datos y comprometerlo de varias formas, si aprovecha diversos puntos vulnerables de la configuración y de las aplicaciones. Esta diapositiva muestra las amenazas principales que pueden tener como resultado el compromiso de un servidor de bases de datos, la posible destrucción o robo de datos confidenciales y formas de contrarrestar estas amenazas. Las amenazas más importantes para un servidor de base de datos son:

Inserción de SQL. El intruso se aprovecha de los puntos vulnerables del código de acceso a los datos y de la validación de entradas de una aplicación para ejecutar comandos arbitrarios en la base de datos con el contexto de seguridad de la aplicación Web.

Espionaje de red. La arquitectura de implementación de la mayor parte de las aplicaciones incluye una separación física entre el código de acceso a los datos y el servidor de bases de datos. Como resultado, los datos confidenciales, por ejemplo los específicos de una aplicación o las credenciales de inicio de sesión de una base de datos, se deben proteger de los fisgones o espías que actúan en la red.

Acceso no autorizado al servidor. El acceso directo al servidor de base de datos debe restringirse a equipos cliente específicos para impedir el acceso no autorizado al mismo.

Averiguación de contraseñas. Una primera línea común de ataque es intentar averiguar las contraseñas de los nombres de cuenta conocidos, como la cuenta del administrador de SQL Server.

Con un ataque de inserción de SQL, se pueden aprovechar puntos vulnerables como los siguientes:

1. 2. 31

• Una validación deficiente de entradas en las aplicaciones Web.

• Comandos de SQL no seguros, creados dinámicamente. • Inicios de sesión de aplicaciones con demasiados

privilegios en la base de datos. • Permisos débiles que no pueden limitar el inicio de

sesión de la aplicación en la base de datos.

Para contrarrestar los ataques de inserción de SQL:

• La aplicación debe limitar y sanear los datos de entrada antes de utilizarlos en consultas SQL.

• Utilice parámetros SQL con tipos seguros para el acceso a los datos. Se pueden utilizar con procedimientos almacenados o con cadenas de comandos SQL creadas dinámicamente. El uso de parámetros SQL garantiza que los datos de entrada estén sujetos a comprobaciones de tipo y longitud, y también que el código insertado se trate como datos literales, no como instrucciones ejecutables, en la base de datos.

• Utilice un inicio de sesión de SQL Server que tenga permisos limitados en la base de datos. Lo mejor sería conceder permisos de ejecución únicamente a procedimientos almacenados seleccionados en la base de datos y no proporcionar acceso directo a las tablas.

Algunos puntos vulnerables que aumentan la probabilidad de que se produzca espionaje de red son:

• Canales de comunicación no seguros. • Paso de credenciales en texto sin cifrar a la base de

datos; por ejemplo: • Uso de la autenticación de SQL en lugar de la de

Windows • Uso de la autenticación de SQL sin un certificado

de servidor

Para contrarrestar el espionaje de red:

• Utilice la autenticación de Windows para conectar con el servidor de base de datos y evitar el envío de credenciales a través de la red.

• Instale un certificado de servidor en el servidor de bases de datos. Como resultado, las credenciales SQL se cifran automáticamente al atravesar la red.

• Utilice una conexión SSL entre el servidor Web y el servidor de bases de datos para proteger los datos confidenciales de las aplicaciones. Para ello, se requiere un certificado de servidor de bases de datos.

1. 2. 32

• Utilice un canal cifrado con IPSec entre el servidor Web y el servidor de bases de datos.

Algunos puntos vulnerables que hacen que el servidor de bases de datos sea susceptible al acceso no autorizado son:

• No bloquear el puerto de SQL Server en el servidor de seguridad del perímetro.

• Ausencia de directivas de filtrado TCP/IP o IPSec.

Se producen ataques de conexión directa contra los usuarios autenticados y contra aquellos que no tienen nombre de usuario y contraseña; por ejemplo:

• Herramientas como el Analizador de consultas (Isqlw.exe) o su equivalente de la línea de comandos (Osql.exe) se utilizan para establecer una conexión directa a SQL Server y emitir comandos.

• Se revela información del servidor, como la versión del software, a un intruso que envía paquetes con una construcción específica a los puertos que atienden.

Para contrarrestar estos ataques:

• Compruebe que los puertos de SQL Server no son visibles desde fuera de la red de perímetro.

• Dentro del perímetro, restrinja el acceso directo de hosts no autorizados, por ejemplo, mediante filtros TCP/IP o IPSec.

Algunos puntos vulnerables habituales que facilitan la averiguación de contraseñas son:

• Dejar las contraseñas en blanco o utilizar contraseñas poco seguras.

• Contraseñas que contienen palabras comunes. Entre los ataques más habituales de averiguación de contraseñas se encuentran:

- Ataques de diccionario. - Adivinación manual de contraseñas. - Para contrarrestar estos ataques: - Cree para las cuentas de inicio de sesión de SQL Server

contraseñas que satisfagan los requisitos de complejidad. - Evite utilizar contraseñas que contengan palabras comunes del

diccionario.

1. 2. 33

3.3.Categorías de seguridad de los servidores de bases de datos

Cap6-13.jpg

• La seguridad de SQL Server implica el uso de una estrategia de defensa en profundidad. Además de configurar SQL Server, también debe considerar lo siguiente:

• Aplicar las revisiones del sistema operativo y SQL Server. Si lo hace, puede impedir muchos tipos conocidos de ataques contra SQL Server.

Servidor SQL Seguridad de SQL Server. Varias opciones de seguridad de SQL Server se

pueden controlar a través del Administrador corporativo. Entre ellas se encuentran el modo de autenticación, el nivel de auditoría y las cuentas que se utilizan para ejecutar el servicio de SQL Server. Para aumentar la seguridad, utilice la autenticación de Windows. Además, habilite la auditoría de inicios de sesión de SQL Server y compruebe que el servicio de SQL Server se ejecuta con una cuenta con los mínimos privilegios.

Inicios de sesión, usuarios y funciones. SQL Server 2000 administra el control de acceso mediante inicios de sesión, bases de datos, usuarios y funciones. El acceso de los usuarios (y aplicaciones) a SQL Server se concede mediante un inicio de sesión de SQL Server. El inicio de sesión se asocia con un usuario de la base de datos al que se asigna una o varias funciones. Los permisos concedidos a la función determinan las tablas a las que se puede tener acceso con ese inicio de sesión y los tipos de operaciones que se pueden realizar. Este método se utiliza con el fin de crear

1. 2. 34

cuentas de base de datos con los mínimos privilegios y los permisos más básicos necesarios que les permitan realizar sus funciones legítimas.

Objetos de base de datos. La capacidad de tener acceso a objetos de base de datos de SQL Server, por ejemplo, los procedimientos almacenados integrados, los procedimientos almacenados extendidos y los trabajos de cmdExec, debe revisarse. Además, se deben eliminar todas las bases de datos de ejemplo.

Sistema operativo Recursos compartidos. Quite todos los recursos compartidos de archivos

innecesarios, incluidos los recursos compartidos de administración predeterminados, si no se necesitan. Proteja el resto de recursos compartidos mediante permisos NTFS limitados. Aunque los recursos compartidos pueden no estar expuestos directamente a Internet, una estrategia de defensa en profundidad en la que los recursos compartidos estén limitados y protegidos reduce el riesgo si el servidor se ve comprometido.

Auditoría y registro. La auditoría supone una ayuda vital a la hora de identificar a los intrusos y los ataques en curso, así como para diagnosticar huellas de ataques. Configure un nivel mínimo de auditoría para el servidor de bases de datos con una combinación de las características de auditoría de Windows y de SQL Server.

Servicios. Deshabilite todos los servicios innecesarios que no se utilicen para reducir rápida y fácilmente el área expuesta a ataques. Los servicios son los principales puntos vulnerables para los intrusos que pueden utilizar los privilegios y capacidades del servicio para tener acceso al servidor y, posiblemente, a otros equipos. De forma predeterminada, los servidores de bases de datos no suelen necesitar que todos los servicios estén habilitados.

Archivos y directorios. Utilice permisos del sistema de archivos NTFS para proteger los archivos de registro, base de datos y programa frente a accesos no autorizados. Cuando se utilizan listas de control de acceso (ACL, Access Control List) junto con la auditoría de Windows, es posible detectar si se produce alguna actividad sospechosa o no autorizada.

Cuentas. Limite el número de cuentas de Windows accesibles desde el servidor de base de datos al conjunto necesario de cuentas de usuario y servicio. En todos los casos, utilice cuentas con los mínimos privilegios y con contraseñas seguras. Si una cuenta que se utiliza para ejecutar SQL Server tiene pocos privilegios, disminuyen las posibilidades de que un intruso comprometa a SQL Server y consiga ejecutar comandos del sistema operativo.

Registro. SQL Server mantiene varias opciones relacionadas con la seguridad, por ejemplo, el modo de autenticación configurado en el Registro. Limite y controle el acceso al Registro para impedir actualizaciones no autorizadas de las opciones de configuración, por ejemplo, para debilitar la seguridad del servidor de bases de datos.

1. 2. 35

Red Puertos. Los puertos que no se utilizan se cierran en el servidor de

seguridad pero es necesario que los servidores que se encuentran detrás de él también bloqueen o limiten los puertos en función de su uso. En un servidor SQL Server dedicado, bloquee todos los puertos excepto el puerto SQL Server que se necesite y los requeridos para la autenticación.

Protocolos. Limite el intervalo de protocolos que los equipos cliente pueden utilizar para conectar al servidor de bases de datos y compruebe que puede proteger dichos protocolos.

3.4.Seguridad de la red

Limite SQL Server para que utilice TCP/IP Refuerce la pila TCP/IP Restrinja los puertos

Uno de los niveles de la estrategia de defensa en profundidad debe garantizar que la red es segura con respecto a SQL Server. Al impedir el uso de protocolos innecesarios, se reduce el área expuesta a ataques. Configure SQL Server para que sólo admita clientes que se conecten con el protocolo TCP/IP. Deshabilite el resto de protocolos a menos que se necesiten. Para ello:

• Limite SQL Server para que utilice TCP/IP. Al exigir el uso de TCP/IP, puede controlar quién se conecta al servidor en puertos específicos mediante directivas IPSec o filtros TCP/IP, o mediante la configuración de servidores de seguridad entre los clientes y SQL Server. Además, si sólo se utiliza TCP/IP, puede exigir la utilización de la autenticación de Kerberos.

• Refuerce la pila TCP/IP. Windows 2000 y Windows Server 2003 permiten controlar varios parámetros para configurar su implementación TCP/IP. Algunas de las opciones predeterminadas están enfocadas a mejorar la capacidad del servidor y ofrecen características especiales.

• Restrinja los puertos. Los puertos que no se utilizan se cierran en el servidor de seguridad pero es necesario que los servidores que se hallan detrás de él también bloqueen o limiten los puertos en función de su uso. En un servidor SQL Server dedicado, bloquee todos los puertos excepto el puerto SQL Server necesario y los puertos requeridos para la autenticación.

De forma predeterminada, SQL Server atiende en el puerto TCP 1433 y utiliza el puerto UDP 1434 para la negociación cliente-servidor. Utilice una combinación de servidores de seguridad y directivas IPSec para limitar el acceso a estos puertos. De este modo reducirá los medios que un intruso puede utilizar para atacar. Utilice un servidor de seguridad de perímetro para impedir el acceso directo desde Internet a los puertos SQL Server (de forma predeterminada, el puerto TCP 1433 y el puerto UDP 1434). Esto no protege

1. 2. 36

el servidor contra ataques internos. Configure directivas IPSec para limitar el acceso, a través del puerto TCP 1433 y del puerto UDP 1434, desde servidores Web o de aplicaciones que se conecten a la base de datos por diseño.

Información adicional:

Para obtener más información sobre la seguridad en una red, consulte http://msdn.microsoft.com/library/en-us/dnnetsec/html/THCMCh18.asp (este sitio está en inglés).

3.5.Seguridad del sistema operativo

Configure la cuenta de servicio de SQL Server con los mínimos permisos posibles

Elimine o deshabilite las cuentas que no se utilicen Proteja el tráfico de autenticación Ejecute el servicio de SQL Server con una cuenta con privilegios mínimos

para disminuir los daños que pueda infringir un intruso que consiga ejecutar comandos del sistema operativo desde SQL Server. No se deben conceder privilegios elevados a la cuenta de servicio de SQL Server, por ejemplo, la pertenencia a los grupos Administradores o Usuarios.

Para crear una cuenta nueva que ejecute el servicio de SQL Server: • Inicie la herramienta Administración del equipo y expanda

Usuarios y grupos locales. • Haga clic con el botón secundario del mouse en la carpeta

Usuarios y, después, haga click en Nuevo usuario. • Cree un usuario nuevo y no olvide utilizar una contraseña

segura. En el cuadro de diálogo Nuevo usuario, desactive la casilla de verificación El usuario debe cambiar la contraseña en el próximo inicio de sesión y active las casillas de verificación El usuario no puede cambiar la contraseña y La contraseña nunca caduca.

• Quite la cuenta nueva del grupo Usuarios porque este grupo tiene más permisos de los requeridos para la cuenta de servicio.

• Ahora puede configurar SQL Server para ejecutarse con esta nueva cuenta.

• Elimine o deshabilite las cuentas que no se utilicen. Las cuentas sin utilizar y sus privilegios pueden ser un refugio para un intruso que obtenga acceso a un servidor. Audite las cuentas locales en el servidor y elimine las que no se utilicen. Compruebe que la cuenta Invitado está deshabilitada y considere cambiar el nombre de la cuenta Administrador. Utilice contraseñas seguras en todas las cuentas.

• Observe que durante la instalación del Service Pack 3 de SQL Server 2000, Sqldbreg2.exe crea la cuenta Depurador SQL.

1. 2. 37

Microsoft Visual Studio® .NET utiliza esta cuenta cuando depura los procedimientos almacenados del código .NET administrado. Como esta cuenta sólo se utiliza para la depuración, puede eliminarla de los servidores de bases de datos de producción.

• Para proteger el tráfico de autenticación, configure el sistema operativo de modo que no acepte ningún método de autenticación de Windows que proporcione una seguridad menor que la de NTLMv2. Esto incluye deshabilitar la autenticación de LAN Manager y NTLMv1.

3.6. Inicios de sesión, usuarios y funciones

Utilice una contraseña segura para la cuenta de administrador del sistema (sa)

Quite la cuenta de usuario invitado de SQL Quite el inicio de sesión de servidor BUILTIN\Administradores No conceda permisos para la función pública

• Se requieren varios pasos de configuración para proteger los inicios de sesión, las cuentas de usuario y las funciones de SQL Server.

• Utilice una contraseña segura para la cuenta de administrador del sistema (sa). La cuenta sa predeterminada ha sido objeto de innumerables ataques. Se trata del integrante predeterminado de la función de servidor fija correspondiente a la administración de SQL Server, sysadmin. Asegúrese de utilizar una contraseña segura con esta cuenta.• Importante: la cuenta sa sigue activa aunque cambie de la

autenticación de SQL a la de Windows. Aplique contraseñas seguras a todas las cuentas, en particular a las que tienen privilegios, como las de los integrantes de las funciones sysadmin y db_owner. Si utiliza replicación, aplique también una contraseña segura a la cuenta distributor_admin, que se emplea para establecer conexiones con los servidores distribuidores remotos.

• Quite la cuenta de usuario invitado de SQL. Al instalar SQL Server se crea una cuenta de usuario invitado si la cuenta Invitado de Windows 2000 está habilitada. Un inicio de sesión asume la identidad Invitado si tiene acceso a SQL Server pero no tiene acceso a una base de datos a través de una cuenta de usuario de base de datos.• Es aconsejable deshabilitar la cuenta Invitado de Windows.

Además, quite la cuenta Invitado de todas las bases de datos definidas por el usuario. Observe que no puede quitar la cuenta Invitado de las bases de datos master, tempdb y de replicación y distribución.

• Quite el inicio de sesión de servidor BUILTIN\Administradores. De forma predeterminada, el grupo de Windows local BUILTIN\Administradores se agrega a la función fija de servidor sysadmin para

1. 2. 38

administrar SQL Server. Esto significa que los administradores de dominio que son integrantes de BUILTIN\Administradores tienen acceso sin restricciones a la base de datos de SQL Server. La mayor parte de las compañías diferencian entre las funciones de administrador de dominio y administrador de base de datos. Si hace esto, quite el inicio de sesión de SQL Server BUILTIN\Administradores. Es aconsejable crear un grupo de Windows específico que contenga las operaciones de administración de base de datos específicas en su lugar y hacer que este grupo se agregue a SQL Server como un inicio de sesión de servidor, como se muestra en el procedimiento siguiente. Si quita el inicio de sesión de servidor de administradores, compruebe que agrega otra cuenta administrativa después de quitarlo y antes de desconectar; en caso contrario es posible que no pueda volver a conectarse a la base de datos.

• No conceda permisos para la función pública. Todas las bases de datos contienen una función de base de datos pública. Cada usuario, grupo y función es un integrante de la función pública. No puede quitar los integrantes de la función pública. En cambio, no conceda para la función pública permisos que otorguen acceso a las tablas de base de datos, procedimientos almacenados y otros objetos de la aplicación. De lo contrario, no podrá obtener la autorización que desea con las funciones de base de datos definidas por el usuario porque la función pública concede permisos predeterminados para los usuarios de una base de datos.

3.7.Archivos, directorios y recursos compartidos

Compruebe los permisos de los directorios de instalación de SQL Server Compruebe que el grupo Todos no tenga permisos para los archivos de

SQL Server Proteja los archivos de registro de instalación Proteja o quite las herramientas, utilidades y SDK Quite los recursos compartidos innecesarios Restrinja el acceso a los recursos compartidos necesarios Proteja las claves del Registro con ACL

• Compruebe los permisos de los directorios de instalación de SQL Server. Compruebe que no se configuran permisos excesivos para los directorios de instalación de SQL Server.

• Compruebe que el grupo Todos no tenga permisos para la ubicación de los archivos de SQL Server (de forma predeterminada, \Archivos de programa\Microsoft SQL Server\MSSQL). Para ello, compruebe que no se conceda acceso al grupo Todos a través de una lista ACL y asigne control total de forma explícita únicamente a la cuenta Servicio SQL, al grupo Administradores y a la cuenta del sistema local.

• Proteja los archivos de registro de instalación. Una vez instalado el Service Pack 1 ó 2 de SQL Server 2000, la contraseña de la cuenta de servicio o del administrador del sistema se puede dejar en el directorio

1. 2. 39

de instalación de SQL Server. Emplee la utilidad Killpwd.exe para quitar las copias de las contraseñas de los archivos de registro.

• Proteja o quite las herramientas, utilidades y SDK. Los SDK y los kits de recursos no se deben instalar en un servidor de base de datos de producción. Quítelos si están instalados. Además: • Compruebe que el acceso a herramientas y utilidades eficaces

del sistema, como las contenidas en el directorio \Archivos de programa, está restringido.

• Quite las herramientas de depuración del servidor de bases de datos. Si se necesita depurar un sistema en producción, cree un CD que contenga las herramientas de depuración necesarias.

• Quite todos los recursos compartidos que no se necesiten. Para revisar los recursos compartidos, inicie el complemento de MMC Administración del equipo y seleccione Recursos compartidos en Carpetas compartidas.

• Restrinja el acceso a los recursos compartidos necesarios. Quite el grupo Todos y conceda permisos específicos en su lugar. El grupo Todos se utiliza cuando no hay que limitar quién tiene acceso al recurso compartido.

• Proteja las claves del Registro con ACL. En algunos casos, puede aumentar la seguridad si quita al grupo Todos el acceso de lectura a ciertas opciones del Registro.

Información adicional:

• Para obtener más información, consulte “Securing Your Database Server” en http://msdn.microsoft.com/library/en-us/dnnetsec/html/THCMCh18.asp (este sitio está en inglés).

• Para obtener más información sobre lo que deben hacer los permisos mínimos, consulte la tabla 18.4 de Improving Web Application Security: Threats and Countermeasures en http://msdn.microsoft.com/library/enus/dnnetsec/html/THCMCh18.asp (este sitio está en inglés).

• Para obtener más información sobre cómo obtener y emplear la utilidad Killpwd.exe, consulte el artículo de Microsoft Knowledge Base (Base de conocimiento) 263968, "FIX: Service Pack Installation May Save Standard Security Password in File"(en inglés).

3.8.Auditoría de SQL

Registre todos los intentos erróneos de iniciar sesión en Windows

Registre las acciones erróneas y correctas en el sistema de archivos

1. 2. 40

Habilite la auditoría de inicios de sesión de SQL Server Habilite la auditoría general de SQL Server

Cap6-14.jpg

• Registre todos los intentos de iniciar sesión en Windows que no tengan éxito para detectar y realizar el seguimiento de los comportamientos sospechosos. Considere registrar los sucesos de inicio de sesión correctos.

• Registre las acciones erróneas y correctas en el sistema de archivos:• Utilice la auditoría de NTFS en el sistema de archivos para

detectar intentos de acciones potencialmente peligrosas.• El registro de las acciones correctas proporciona una prueba

cuando se realizan cambios no autorizados. El registro de las acciones erróneas proporciona una prueba de que un intruso está intentando modificar archivos.

• De forma predeterminada, la auditoría de SQL Server no está habilitada. Como mínimo, debería auditar los inicios de sesión erróneos. Auditar los intentos de inicio de sesión erróneos es una forma útil de detectar que un intruso está intentando averiguar las contraseñas de las cuentas. Para habilitar la auditoría de SQL Server, en el Administrador corporativo de SQL Server, en las propiedades de su servidor SQL Server, en la ficha Seguridad, configure el nivel de auditoría como Todo o Error. Reinicie SQL Server para que los cambios en la directiva de auditoría surtan efecto.

• Habilite la auditoría general de SQL Server. SQL Server 2000 permite definir sucesos de auditoría y columnas, y analizar los registros de auditoría con una herramienta basada en una interfaz de usuario: Analizador de SQL. Los sucesos que se pueden capturar y analizar son: • La actividad del usuario final (todos los comandos SQL, inicios

y cierres de sesión, las funciones de aplicación que se habilitan) • La actividad del administrador (DDL; otras acciones diferentes

de conceder, revocar o denegar, y sucesos de seguridad; y la configuración de bases de datos o servidores)

• Sucesos de seguridad (las acciones conceder, revocar o denegar, y agregar, eliminar o configurar funciones o usuarios de inicio de sesión)

• Sucesos de utilidades (comandos de DBCC, copia masiva, inserción masiva, restauración o copia de seguridad)

• Sucesos de servidor (cierre, pausa, inicio) • Sucesos de auditoría (agregar, modificar o detener auditoría)

• Si desea que la auditoría comience siempre que se inicie SQL, cree una secuencia de comandos de auditoría, inclúyala en un procedimiento almacenado y configure ese procedimiento como de inicio automático (AutoStart).

Información adicional:

1. 2. 41

Para obtener más información sobre los registros de auditoría de SQL Server, consulte el artículo de TechNet "SQL Server 2000 Auditing" y su sección "Understanding the Audit Log", en http://www.microsoft.com/technet/security/prodtech/dbsql/sql2kaud.asp (este sitio está en inglés).

1. 2. 42

3.9.Seguridad de los objetos de base de datos

Quite las bases de datos de ejemplo Proteja los procedimientos almacenados Proteja los procedimientos almacenados extendidos Limite el acceso de cmdExec a la función sysadmin

• Quite las bases de datos de ejemplo mediante el Administrador corporativo de SQL Server. De forma predeterminada, SQL Server incluye las bases de datos de ejemplo Pubs y Northwind. Para protegerlos, restrinja el acceso a los procedimientos almacenados de la aplicación. No conceda a la función pública o al usuario invitado acceso a ninguno de los procedimientos almacenados que cree. La línea principal de defensa para proteger los procedimientos almacenados es asegurarse de utilizar una autenticación segura y proporcionar después una autorización granular que sólo conceda a los usuarios los permisos necesarios para ejecutarlos. El enfoque recomendado es crear un inicio de sesión de SQL Server para la aplicación, asignarlo a un usuario de base de datos, agregar el usuario a una función de base de datos definida por el usuario y, por último, conceder permisos a la función.

• Proteja los procedimientos almacenados extendidos. La eliminación de procedimientos almacenados no se ha probado y no se admite.

• Limite el acceso de cmdExec a la función sysadmin. La función cmdExec es utilizada por el Agente SQL Server para ejecutar las secuencias de comandos y aplicaciones de línea de comandos de Windows que dicho agente programa. Antes de la publicación del Service Pack 3 de SQL Server, de forma predeterminada, el Agente SQL Server permitía a los usuarios que no se encontraban en la función sysadmin programar trabajos que pudieran requerir acceso con privilegios al sistema. Debe cambiar esta configuración para permitir programar trabajos únicamente a los integrantes de la función sysadmin.• Para limitar el acceso de cmdExec a la función sysadmin.

• Inicie el Administrador corporativo de SQL Server, expanda el Grupo de SQL Server y, después, expanda su servidor SQL Server.

• Expanda el nodo Administración, haga clic con el botón secundario del mouse en Agente SQL Server y, después, haga clic en Propiedades. Aparece el cuadro de diálogo Propiedades de Agente SQL Server.

• Haga clic en la ficha Sistema de trabajo. • En la parte inferior del cuadro de diálogo, active la casilla

de verificación Sólo los usuarios con privilegios SysAdmin pueden ejecutar pasos de trabajo CmdExec y ActiveScripting.

• Haga clic en Aceptar.

1. 2. 43

• Nota:   este cambio puede requerir que proporcione un nombre de usuario y una contraseña. Si la cuenta de servicio de SQL Server corresponde a un usuario con los mínimos privilegios (como se aconseja anteriormente en este capítulo), se le pedirá el nombre de usuario y la contraseña de una cuenta de administrador que tenga privilegios para modificar el servicio.

3.10. Uso de vistas y procedimientos almacenados

Las consultas SQL pueden contener información confidencialo Utilice procedimientos almacenados siempre que sea posibleo Utilice vistas en lugar de permitir el acceso directo a las tablas

Implemente las recomendaciones de seguridad para las aplicaciones basadas en Web

• Las consultas SQL pueden contener información confidencial. Por ejemplo, las consultas suelen hacer referencia a:• Nombres de componentes de la base de datos.• Nombres de servidor.• Lógica de proceso.• Nombres de cuentas o contraseñas.

• Este tipo de información puede permitir a un pirata informático obtener datos confidenciales o la información que podría utilizar para burlar las defensas de un servidor de bases de datos o de otros componentes de la red.

• Siempre que sea posible, utilice procedimientos almacenados para asegurarse de que este tipo de información se almacena en el servidor de base de datos y sólo la pueden ver los usuarios que envían consultas. El uso de procedimientos almacenados también suprime las condiciones en las que se pueden producir ataques de inserción de SQL.

• El uso de vistas en lugar de permitir el acceso directo a las tablas puede reducir la cantidad de información accesible a los usuarios de servidores SQL Server e impide a los intrusos obtener acceso a toda la información de las mismas.

• Las aplicaciones basadas en Web también pueden tener acceso a los datos de servidor; por lo tanto, es muy importante asegurarse de que las aplicaciones implementan las recomendaciones de seguridad, por ejemplo, la validación de los datos de entrada, que pueden impedir los ataques de inserción de SQL.

Información adicional:

Para obtener más información sobre cómo desarrollar aplicaciones Web más seguras, consulte las sesiones de aprendizaje de consejos de seguridad, “Writing Secure Code: Best Practices” y “Writing Secure Code: Threat

1. 2. 44

Defense”, en http://www.microsoft.com/seminar/events/security.mspx (este sitio está en inglés).

3.11. Seguridad de las aplicaciones Web

Valide todos los datos de entrada Proteja la autenticación y la autorización Proteja los datos confidenciales Utilice cuentas de servicio y proceso con los mínimos privilegios Configure la auditoría y el registro Utilice métodos estructurados de tratamiento de excepciones

Muchas aplicaciones basadas en Web tienen acceso a los servidores de servicios de fondo SQL. Estas aplicaciones requieren una configuración de seguridad adicional:

• Valide todos los datos de entrada. Se deben validar todos los datos de entrada antes de agregarlos a la base de datos. Esta validación debe realizarse en el servidor Web, no en el cliente. Restrinja, rechace o sanee las entradas; y valide el tipo, la longitud, el formato y el intervalo. Si los datos no se validan, el servidor será vulnerable a un ataque de inserción de SQL.

• Proteja la autenticación y la autorización. Divida el sitio Web por áreas anónimas y autenticadas. Exija que todos los usuarios utilicen contraseñas seguras y habilite períodos de caducidad para las contraseñas y la deshabilitación de las cuentas. No almacene credenciales en los equipos cliente. Cifre los canales de comunicación para proteger los testigos de autenticación; para ello, requiera el uso de HTTPS en todo el tráfico de autenticación. Utilice cuentas con los mínimos privilegios. Limite el acceso de los usuarios a los recursos del sistema.

• Proteja los datos confidenciales. Cifre mediante IPSec o HTTPS los datos confidenciales que atraviesen dispositivos de cable. Proporcione controles de acceso seguros en los almacenes de datos confidenciales. No almacene estos datos en cookies persistentes. No pase datos confidenciales con el protocolo HTTP-GET.

• Utilice cuentas de servicio y proceso con los mínimos privilegios. No almacene credenciales en texto sin cifrar. Utilice autenticación y autorización seguras en las interfaces de administración. No utilice la Autoridad de seguridad local (LSA, Local Security Authority). Proteja el canal de comunicación para administración remota. Evite almacenar datos importantes en el espacio Web.

• Configure la auditoría y el registro para identificar comportamientos sospechosos. Sepa qué apariencia tiene el tráfico correcto. Audite y registre la actividad de todos los niveles de aplicación. Proteja el acceso a los archivos de registro. Realice copias de seguridad y analice los archivos de registro con regularidad.

1. 2. 45

• Utilice métodos estructurados de tratamiento de excepciones. No revele información de implementación de las aplicaciones confidenciales. Considere el uso de una estructura de administración centralizada de las excepciones.

1. 2. 46

3.12. Diez principios básicos para proteger SQL Server

Cap6-15.jpg

• Los tres primeros elementos de esta lista son recomendaciones que se aplican a todos los servidores. Siempre debe asegurarse de aplicar las revisiones apropiadas al software. Microsoft Baseline Security Analyzer (MBSA) puede ayudarle a determinar qué actualizaciones aplicar y qué otros puntos vulnerables debe corregir. La mayor parte de los ataques que consiguen su objetivo se sirven de puntos vulnerables que se conocen desde hace tiempo.

• Puesto que los sistemas de envío de correo no deseado utilizan herramientas automatizadas para enviar correo a los servidores que permiten la retransmisión, no configure nunca su servidor para permitir la retransmisión sin autenticación. Será sólo cuestión de horas o días que un servidor de correo configurado incorrectamente sea utilizado por dichos sistemas. Dado que los sistemas de envío de correo no deseado podrían tener acceso a su servidor de correo mediante la cuenta integrada Invitado, compruebe que esta cuenta está deshabilitada.

• Utilice una solución antivirus en niveles. El perímetro de la red es el mejor lugar para detener los virus. Dado que la mayor parte de los virus se introducen en las organizaciones a través del correo

1. 2. 47

electrónico, configure una puerta de enlace que funcione junto con el servidor de correo. Sin embargo, para aumentar la seguridad, también debe implementar soluciones antivirus en todos los equipos cliente.

• Los servidores de seguridad pueden bloquear el acceso no autorizado a los servidores de correo y garantizar que únicamente los protocolos de correo pasen a estos servidores. Microsoft ISA Server proporciona protección avanzada en el nivel de aplicación para el tráfico de correo, incluido el tráfico de los clientes.

• La autenticación no segura de OWA puede ocasionar que los intrusos averigüen las contraseñas. Por lo tanto, compruebe que la configuración de autenticación de OWA proporciona suficiente seguridad.

• Por último, se requiere una estrategia de copia de seguridad efectiva para recuperar el sistema ante un desastre que produzca pérdida de datos.

1. 2. 48

4. Seguridad en Small Business Server

En este tema, aprenderá a implementar la seguridad en Small Business Server. Se tratará:

• Reconocimiento de las amenazas.• Protección contra amenazas externas.• Uso de un servidor de seguridad.• Protección contra amenazas internas.

4.1.Reconocimiento de las amenazas

Small Business Server desempeña muchas funciones de servidor Amenazas externas

o Small Business Server suele estar conectado a Internet Amenazas internas

o Todos los componentes de Small Business Server se deben proteger

Muchas configuraciones son seguras de forma predeterminada

• Para poder proteger Microsoft Small Business Server (SBS), debe conocer el origen de las amenazas que lo acechan.

• Small Business Server se ha diseñado para proporcionar todas las funciones de servidor que una pequeña compañía requiere. Esto significa que un único servidor físico realiza muchas funciones diferentes: controlador de dominio, servidor Exchange, Servidor SQL, servidor IIS, servidor de archivos y, posiblemente, servidor de fax.

• Small Business Server se enfrenta a amenazas externas porque suele estar conectado a Internet. Estas amenazas son idénticas a las que acechan a cualquier servidor que esté conectado a Internet. Como Small Business Server incluye varias aplicaciones de servidor, está expuesto a las amenazas de todas esas aplicaciones y a las del sistema operativo.

• Igualmente, Small Business Server está expuesto a las mismas amenazas de orígenes internos que los servidores que ejecutan alguno de sus componentes.

• Muchos de los componentes de Small Business Server 2003 están protegidos de forma predeterminada.

4.2.Protección contra amenazas externas

Configure directivas de contraseña para requerir el uso de contraseñas complejas

1. 2. 49

Configure el acceso remoto seguroo Remote Web Workplaceo Acceso remoto

Cambie el nombre de la cuenta Administrador Implemente las recomendaciones de seguridad para Exchange e IIS Utilice un servidor de seguridad

• Las siguientes son recomendaciones especiales para proteger Windows Small Business Server 2003. Con SBS, se le pedirá que habilite el uso de contraseñas seguras cuando ejecute el Asistente para configurar correo electrónico y conexiones a Internet o el Asistente para acceso remoto si las directivas de contraseñas no están habilitadas. También puede habilitar o cambiar las directivas de contraseñas si hace clic en Configure Password Policies (Configurar directivas de contraseñas) en el cuadro de tareas Manage Users (Administrar usuarios) de Server Management (Administración del servidor).

• Small Business Server permite a los usuarios realizar tareas de forma remota mediante Remote Web Workplace y con una conexión VPN. Debe configurar estas características de forma independiente:

• Para configurar Remote Web Workplace, utilice el Asistente para configurar correo electrónico y conexiones a Internet. A continuación, aplique una plantilla que permita el acceso a Remote Web Workplace a los usuarios que tengan acceso a Small Business Server desde Internet. Para permitir el acceso desde una VPN, utilice el Asistente para acceso remoto con el fin de establecer la configuración de VPN en Small Business Server.

• Como Small Business Server impide la enumeración anónima de las cuentas de equipo, un intruso externo no podrá determinar el nombre de la cuenta integrada Administrador. Esto hace que cambiar el nombre de esta cuenta sea una útil medida de seguridad. Utilice directivas de grupo para cambiar el nombre de la cuenta.

• Puesto que las aplicaciones de Small Business Server como Exchange e IIS están expuestas a Internet, utilice las recomendaciones para Exchange e IIS con el fin de mejorar su seguridad.

• Siempre que conecte un equipo, como Small Business Server, a Internet, debe utilizar un servidor de seguridad. En las dispositivas siguientes se describirán opciones que permiten hacer esto.

1. 2. 50

4.3.Uso de un servidor de seguridad

Cap6-16.jpg

Características de servidor de seguridad incluidas:o ISA Server 2000 en SBS 2000 y SBS 2003, Premium Editiono Funciones básicas de servidor de seguridad en SBS 2003,

Standard Edition Considere la utilización de un servidor de seguridad independiente

o SBS 2003 puede comunicarse con un servidor de seguridad externo mediante UPnP

o ISA Server puede proporcionar protección en el nivel de aplicación

• Un servidor de seguridad se puede utilizar para lo siguiente:• Restringir el acceso no autorizado desde Internet a los recursos

como carpetas, archivos e impresoras de la red • Bloquear el tráfico de red entrante desde Internet de acuerdo

con reglas específicas, por ejemplo, a qué servicio de red se está teniendo acceso y qué usuario tiene acceso a la red local

• Small Business Server 2000 y Windows Small Business Server 2003, Premium Edition, incluyen Microsoft ISA Server. ISA Server proporciona una inspección avanzada del tráfico de red en el nivel de aplicación.

• Windows Small Business Server 2003 incluye funciones básicas de servidor de seguridad. Para establecer la configuración de este servidor de seguridad, complete la tarea Conectar a Internet, que sigue a la tarea Ver recomendaciones de seguridad en la lista de tareas pendientes.

• Aunque la ejecución de un servidor de seguridad en un equipo Small Business Server protege la red, la expone a riesgos si no se configura correctamente. En consecuencia, debe considerar la colocación de otro servidor de seguridad entre el equipo Small Business Server e Internet. Este servidor de seguridad puede ser un enrutador que se utilice como dispositivo de conexión a Internet y que realice las funciones del servidor de seguridad. Si este dispositivo servidor de seguridad no es compatible con Universal Plug and Play (UPnP), debe configurarlo manualmente.

1. 2. 51

• Aunque utilice un servidor de seguridad externo, el filtrado del nivel de aplicación que ISA Server proporciona puede aumentar la seguridad contra amenazas externas.

4.4.Protección contra amenazas internas

Implemente una solución antivirus Implemente un plan de copia de seguridad Ejecute MBSA Controle los permisos de acceso Instruya a los usuarios No utilice el servidor como estación de trabajo Proteja físicamente el servidor Limite el espacio de disco de los usuarios Actualice el software

• La implementación de una solución antivirus ayudará a proteger la red local de los virus de equipos. Es necesario utilizar una solución antivirus que ayude a impedir el acceso no autorizado a los equipos cliente, al servidor y a la red. Si emplea Small Business Server 2003, compruebe que el software antivirus admite Exchange Server 2003 y la API de detección de virus de Microsoft más reciente.

• La implementación de un plan de copia de seguridad debe formar parte de todas las estrategias de defensa de los datos.

• Ejecute Microsoft Baseline Security Analyzer (MBSA) para mantener la seguridad de Windows Small Business Server. MBSA comprueba si existen puntos vulnerables importantes en la configuración del sistema, como la pertenencia al grupo Administradores, las contraseñas de las cuentas locales y otras comprobaciones de las actualizaciones de seguridad. Al seguir todas las recomendaciones de MBSA en Small Business Server 2000 algunas funciones pueden verse afectadas.

• Controle los permisos de acceso. Windows Small Business Server 2003 proporciona plantillas de usuario predefinidas que sirven de ayuda para asignar el grado apropiado de acceso al crear cuentas de usuario. A cada cuenta de usuario basada en una plantilla de usuario se le concede el grado específico de acceso a los recursos de la red. El uso de estas plantillas contribuye a garantizar que los usuarios reciban únicamente el grado mínimo de acceso que necesiten.

• Instruya a los usuarios sobre el uso de contraseñas seguras: las estaciones de trabajo no se deben dejar desatendidas y accesibles, no se deben descargar programas de orígenes en los que no se confíe, no se deben abrir archivos adjuntos de correo electrónico que provengan de orígenes desconocidos y se deben deshabilitar las macros cuando se abra un documento de un origen desconocido.

1. 2. 52

• No utilice el servidor como estación de trabajo con el objeto de reducir la parte del mismo expuesta a ataques y la necesidad de instalar revisiones de seguridad.

• Siga procedimientos de seguridad adecuados para proteger físicamente el servidor, como limitar el acceso de los usuarios al equipo donde se ejecuta Small Business Server, preferiblemente mediante claves que se emitan únicamente para los usuarios que necesiten acceso físico al servidor.

• Limite el espacio de disco del usuario mediante la asignación de cuotas de disco y la restricción del tamaño de los buzones.

• No tarde en instalar las actualizaciones de software, también conocidas como revisiones, Service Packs y paquetes de continuación de revisiones de seguridad, para proteger el servidor contra ataques de denegación de servicio.

Información adicional:

Para obtener más información sobre MBSA, consulte http://support.microsoft.com/default.aspx?scid=kb;en-us;323467 (este sitio está en inglés).

1. 2. 53

5. Seguridad en los datos

En este tema, aprenderá cómo proteger los datos. Se tratará:

• Función y limitaciones de los permisos de archivo• Función y limitaciones del Sistema de archivos de cifrado (EFS)• Arquitectura de EFS• Diferencias de EFS entre las versiones de Windows• Implementación de EFS: cómo conseguir que sea correcta

5.1.Función y limitaciones de los permisos de archivo

Impiden el acceso no autorizado Limitan la capacidad de los administradores No protegen contra los intrusos con acceso físico El cifrado proporciona seguridad adicional

• Los permisos de archivo NTFS se diseñaron para impedir el acceso no autorizado a los datos. Estos permisos son aplicados por el sistema operativo. Los permisos NTFS son suficientes para proteger los archivos frente al acceso no autorizado durante el funcionamiento normal.

• Aunque puede configurar los permisos NTFS de modo que los administradores no puedan tener acceso a los archivos, los administradores pueden anular estas limitaciones. Es posible que sea capaz de detectar el acceso no autorizado si configura la auditoría, pero si sólo se utilizan permisos NTFS es imposible proteger por completo los archivos contra un administrador determinado que tenga malas intenciones o contra un intruso que pueda conseguir privilegios administrativos.

• Como los permisos de archivo NTFS protegen los archivos únicamente mientras el sistema operativo está activo, cualquier usuario que tenga acceso físico al equipo puede omitir este impedimento y obtener acceso a cualquier archivo. Éste es un problema importante en los dispositivos móviles, como los equipos portátiles, que pueden perderse o ser robados.

• El cifrado puede proporcionar protección cuando los permisos del sistema de archivos son insuficientes.

1. 2. 54

5.2.Función y limitaciones de EFS

Ventaja del cifrado de EFSo Garantiza la privacidad de la informacióno Utiliza una sólida tecnología de claves

públicas Peligro de cifrado

o Se impide todo acceso a los datos si se pierde la clave privada

Claves privadas en los equipos clienteo Las claves se cifran con un derivado de la contraseña del usuarioo Las claves privadas sólo son seguras en la medida que lo es la

contraseñao Las claves privadas se pierden cuando el perfil de usuario se

pierde

Cap6-17.jpg

• El Sistema de archivos de cifrado (EFS, Encrypting File System), que se incluye con Microsoft Windows 2000 y sistemas operativos posteriores, se basa en el cifrado de clave pública y aprovecha la arquitectura CryptoAPI de Windows 2000 y versiones posteriores. Cada archivo se cifra con una clave de cifrado de archivos generada aleatoriamente, que es independiente del par de claves pública y privada de un usuario, con lo que evita muchas formas de ataques basados en análisis criptográfico.

• Como cada archivo se cifra con una clave secreta independiente que, a su vez, se cifra con la clave pública del usuario, sólo el usuario que posee la correspondiente clave privada puede tener acceso a los datos cifrados. De esta forma se garantiza la privacidad de la información y se protegen los datos contra cualquiera que pueda obtener acceso físico o administrativo al equipo.

• Al cifrar los datos se corre el riesgo de perderlos. Los archivos se cifran mediante las claves públicas de uno o varios usuarios. Se impide todo acceso a los datos si se pierde la clave privada correspondiente a la clave pública. Por ejemplo, si reinstala el sistema operativo y no dispone de una copia de seguridad de su perfil de usuario, el acceso a la clave privada y a otros datos importantes podría perderse.

• Es aconsejable no almacenar las claves privadas en los equipos cliente. Las claves privadas se protegen mediante cifrado con un derivado de la contraseña del usuario. Un intruso con acceso físico al equipo puede encontrar la contraseña del usuario y, por lo tanto, obtener acceso a la clave privada. Puede atenuar esta amenaza mediante si utiliza contraseñas seguras. Puede protegerse frente a este riesgo si exporta la clave privada y la almacena en una ubicación segura o si implementa un plan de recuperación de claves en la organización.

1. 2. 55

5.3.Arquitectura de EFS

Cap6-18.jpg

• En la diapositiva se ofrece información general sobre la arquitectura de EFS. EFS consta de los componentes siguientes en los sistemas operativos Windows 2000 y Windows 2003: • Las API de Win32® proporcionan interfaces de programación

para cifrar archivos de texto, descifrar o recuperar archivos de texto cifrado, e importar y exportar archivos cifrados (sin descifrarlos primero). Estas API se proporcionan en una DLL estándar del sistema, Advapi32.dll.

• Un archivo pasa a través del Administrador de E/S cuando se lee o se escribe en un disco. La función del Administrador de E/S es la misma para los archivos cifrados o de texto sin cifrar.

• El controlador de EFS (EFS.sys) se basa en NTFS. Comunica con el servicio EFS para solicitar las claves de cifrado de archivos y otros servicios de administración de claves. Pasa esta información a la biblioteca de tiempo de ejecución del sistema de archivos EFS (FSRTL) para realizar diversas operaciones del sistema de archivos (abrir, leer, escribir y anexar) de forma transparente. FSRTL es un módulo del controlador de EFS que implementa llamadas NTFS para controlar diversas operaciones del sistema de archivos, por ejemplo, leer, escribir y abrir directorios y archivos cifrados. También controla las operaciones de cifrar, descifrar y

1. 2. 56

recuperar los datos de archivos cuando se escriben o se leen en disco. Aunque el controlador de EFS y FSRTL se implementan como un componente único, nunca se comunican directamente. Utilizan el mecanismo de llamadas de control de archivos NTFS para pasarse mensajes entre sí. Esto garantiza que NTFS participe en todas las operaciones de archivo.

• El servicio EFS forma parte del subsistema de seguridad. Utiliza el puerto de comunicación LPC existente entre la Autoridad de seguridad local (LSA) y el monitor de referencia de seguridad en modo de núcleo para comunicar con el controlador de EFS. En el modo de usuario, interactúa con CryptoAPI para proporcionar claves de cifrado de archivos y generar los campos de descifrado de datos y los campos de recuperación de datos. El servicio EFS también ofrece compatibilidad con las API de Win32 que realizan las operaciones de cifrado, descifrado, recuperación, importación y exportación.

• En lo que respecta a los usuarios y aplicaciones, esto no les afecta. El cifrado y descifrado de EFS son completamente transparentes, siempre que se configuren correctamente.

5.4.Diferencias de EFS entre las versiones de Windows

Windows 2000 y las versiones más recientes de Windows admiten el uso de EFS en particiones NTFS

Windows XP y Windows Server 2003 incluyen características nuevas:

o Se puede autorizar a usuarios adicionales o Se pueden cifrar archivos sin conexión o El algoritmo de cifrado triple-DES (3DES) puede reemplazar a

DESX o Se puede utilizar un disco de restablecimiento de contraseñaso EFS preserva el cifrado sobre WebDAVo Se recomienda utilizar agentes de recuperación de datoso Mejora la capacidad de uso

• Hay varias mejoras en Windows XP y Windows Server 2003 con respecto a Windows 2000:

• Puede autorizar usuarios adicionales para que tengan acceso a los archivos. Para ello, las claves privadas de los usuarios se deben almacenar en el equipo donde cifre los archivos.

• Puede cifrar los archivos sin conexión.• Puede utilizar el algoritmo 3DES, más seguro, en lugar de

DESX. El grado de cifrado predeterminado para Windows Server 2003 es Estándar de cifrado avanzado (AES, Advanced Encryption Standard). Para configurar el cifrado 3DES, habilite la opción de la plantilla de seguridad Codificación de sistema:

1. 2. 57

habilitar algoritmos compatibles con FIPS para codificación, algoritmos hash y firma.

• Puede utilizar un disco de restablecimiento de contraseñas para realizar la copia de seguridad de su contraseña en un disco de recuperación. Puede utilizar este disco si desea recuperar su contraseña, lo que le permite tener acceso a los archivos cifrados aunque olvide su contraseña. Esta característica es más útil en una red no administrada donde no hay ninguna directiva de recuperación de claves.

• EFS preserva el cifrado cuando los archivos se transfieren sobre WebDAV. La característica Carpetas Web de Windows 2000, Windows XP y Windows Server 2003 utiliza WebDAV.

• EFS permite el uso de un agente de recuperación de datos. Un agente de recuperación de datos es un usuario designado cuyo certificado se utiliza para cifrar la clave de cifrado del archivo además de la clave del usuario que la cifra. Si la clave del usuario se pierde, el agente de recuperación de datos puede descifrar el archivo. En Windows 2000, se tenía que designar un agente de recuperación de datos; de lo contrario EFS no cifraba los archivos. En Windows XP y Windows Server 2003, los agentes de recuperación de datos son opcionales. Esto proporciona un mayor nivel de seguridad pero también incrementa el riesgo de que se pierdan los datos como consecuencia de la pérdida de una clave privada.

• Windows XP y Windows Server 2003 agregaron varias mejoras en la capacidad de uso. Ahora, las propiedades de cifrado de un archivo pueden verse mediante el Explorador de Windows. Anteriormente, en Windows 2000, para determinar qué usuario cifró un archivo y quién era el agente de recuperación de datos se necesitaba la utilidad de línea de comandos Efsinfo del Kit de recursos de Windows 2000.

5.5. Implementación de EFS: cómo conseguir que sea correcta

Utilice directivas de grupo para deshabilitar EFS hasta que prepare la implementación centralizada

Planee y diseñe directivas Diseñe agentes de recuperación Asigne certificados Utilice directivas de grupo para implementarla

Cap6-19.jpg

• EFS es muy fácil de utilizar. Los usuarios pueden establecer fácilmente el atributo de cifrado en el cuadro de diálogo de propiedades del archivo. Sin embargo, para administrar EFS en un entorno corporativo se requiere la administración centralizada de directivas de EFS y agentes de recuperación.

1. 2. 58

• Antes de implementar una estrategia de EFS en todo el dominio, utilice directivas de grupo para deshabilitar EFS hasta que esté preparado y haya completado todos los pasos de planeamiento. Esto impide que los usuarios cifren los archivos si no disponen de un método para recuperarlos. Para deshabilitar EFS en los equipos donde se ejecute Windows 2000, configure una directiva de recuperación que no contenga un agente de recuperación. Para deshabilitar el cifrado en equipos donde se ejecute Windows XP y Windows Server 2003, configure la directiva de EFS con tal fin.

• A continuación, planee cómo utilizará EFS en la organización y diseñe las directivas correspondientes.

• Diseñe agentes de recuperación y planee su directiva de recuperación.

• Después, asigne certificados a los usuarios. Considere cómo incorporar esto en las PKI actuales o en las planeadas.

• Por último, implemente la directiva de EFS mediante una directiva de grupo.

Información adicional:

• Para obtener más información sobre cómo deshabilitar EFS, consulte “Disabling EFS for Windows Server 2003 and Windows XP” enhttp://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/standard/sag_SEprocsDisableEFS.asp (este sitio está en inglés).

• Para obtener más información sobre cómo deshabilitar EFS, consulte “Cómo: Deshabilitar EFS en todos los equipos de un dominio basado en Windows 2000” enhttp://support.microsoft.com/default.aspx?scid=kb;es;222022.

• Para obtener información paso a paso sobre EFS en Windows 2000, consultehttp://www.microsoft.com/windows2000/techinfo/planning/security/efssteps.asp (este sitio está en inglés).

• Para obtener más información sobre EFS en Windows 2000, consulte http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/distsys/part2/dsgch15.asp (este sitio está en inglés).

• Para obtener más información sobre EFS, consulte “Encrypting File System in Windows XP and Windows Server 2003” enhttp://www.microsoft.com/technet/prodtechnol/winxppro/deploy/CryptFS.asp (este sitio está en inglés).

1. 2. 59

6. Pasos siguientes

1) Mantenerse informado sobre seguridad

Suscribirse a boletines de seguridad: http://www.microsoft.com/latam/technet/seguridad/boletines/notificacion.asp

Obtener las directrices de seguridad de Microsoft más recientes:http://www.microsoft.com/latam/technet/seguridad/practicas.asp

2) Obtener aprendizaje de seguridad adicional

Buscar seminarios de aprendizaje en línea y presenciales:http://www.microsoft.com/latam/technet/evento/default.asp

Buscar un CTEC local que ofrezca cursos prácticos:http://www.microsoft.com/mspress/latam/default.htm

3) En los pasos siguientes es necesario que se dirija al sitio Web de Microsoft para:

Obtener la información sobre seguridad más reciente. Obtener aprendizaje de seguridad adicional.

6.1.Para obtener más información

Sitio de seguridad de Microsoft (todos los usuarios)o http://www.microsoft.com/latam/seguridad

Sitio de seguridad de TechNet (profesionales de IT)o http://www.microsoft.com/latam/technet/seguridad/default.asp

Sitio de seguridad de MSDN (desarrolladores)o http://msdn.microsoft.com/security (este sitio está en inglés)

Hay más información técnica para profesionales de tecnología de la información y desarrolladores en los sitios Web siguientes:

Sitio de seguridad de Microsoft (todos los usuarios)• http://www.microsoft.com/security (este sitio está en

inglés) Sitio de seguridad de TechNet (profesionales de IT)

• http://www.microsoft.com/technet/security (este sitio está en inglés)

Sitio de seguridad de MSDN® (desarrolladores)• http://msdn.microsoft.com/security

(este sitio está en inglés)

1. 2. 60

7. Practica A: Seguridad de Exchange

En esta práctica habilitará la autenticación basada en formularios. A continuación, usted va a configurar Exchange para utilizar RPC sobre HTTP y empleará ISA Server para publicar Exchange.

Cliente: LondonExchange 2003: DenverISA Server: Vancouver

Habilitar y probar la autenticación basada en formulariosEN LONDON

Guía Pasos

Antes de comenzar, configure un servidor OWA de Exchange 2003 (Denver.nwtraders.msft) y publique en la red externa mediante ISA Server 2000. En el equipo cliente se ejecuta Windows XP. Este equipo se encuentra fuera del servidor de seguridad de ISA Server y se utilizará para probar la capacidad de conexión. Inicie sesión como Kim Yoshida y conecte al buzón de Kim mediante OWA y sin tener habilitada la autenticación basada en formularios.

1. Inicie sesión como bensmith con la contraseña P@ssw0rd.

2. Abra Internet Explorer.

3. En el cuadro de dirección, escriba https://denver.nwtraders.msft/exchange/kimyo.

4. Para autenticarse, utilice Nwtraders\kimyo con la contraseña P@ssw0rd.

5. Cierre Internet Explorer.

Al habilitar la autenticación basada en formularios, se proporciona seguridad adicional cuando los usuarios utilizan Microsoft Outlook® Web Access. Una nueva página de inicio de sesión para Outlook Web Access almacenará el nombre de usuario y la contraseña del usuario en un cookie de sesión en memoria, no en el explorador. Cuando un usuario cierre el explorador, el cookie se borrará. Además, después de un período de inactividad, el cookie se borrará automáticamente.

1. 2. 61

CAMBIE DENVER

Para habilitar la autenticación basada en formularios, utilizaremos la consola MMC Administrador del sistema de Exchange.

1. Inicie sesión como kimyo con la contraseña P@ssw0rd.

2. En el menú Inicio, seleccione Todos los programas, Microsoft Exchange y, después, haga click en Administrador del sistema.

3. Expanda Grupos administrativos.

4. Expanda Primer grupo administrativo.

5. Expanda Servidores.

6. Expanda Denver.

7. Expanda Protocolos.

8. Expanda HTTP.

9. Haga click con el botón secundario del mouse en Servidor virtual de Exchange y, después, haga click en Propiedades.

10.En la ficha Configuración, en el panel Outlook Web Access, active la casilla de verificación Habilitar la autenticación basada en formularios y, después, haga click en Aceptar.

Aparecerá un cuadro de advertencia que le informa de que la autenticación basada en formularios requiere que los clientes utilicen SSL.

11.Haga click en Aceptar.

CAMBIE LONDON

Cuando un usuario inicie sesión en OWA, la nueva página de inicio de sesión le requerirá que especifique su alias o nombre de dominio y su contraseña, o su dirección de correo electrónico UPN completa y su contraseña para tener acceso a su correo electrónico. Observe que la dirección URL no tiene que incluir el nombre de usuario.

1. Abra Internet Explorer.

2. En la barra de dirección, escriba https://denver.nwtraders.msft/exchange.

Aparece la pantalla de inicio de sesión Autenticación basada en formularios.

3. En el cuadro Dominio\nombre de usuario, escriba nwtraders\kimyo.

4. En el cuadro Contraseña, escriba P@ssw0rd.

Hay dos opciones de configuración de seguridad. La diferencia entre ambas consiste en que la destinada a los equipos privados tiene en cuenta tiempos de espera mayores.

5. Junto a Seguridad, haga click en ¿Qué es esto?

1. 2. 62

El cliente elige entre un inicio de sesión Básico y Premium. Utilice la opción Básico en primer lugar.Observe la apariencia de OWA.

6. En Cliente, seleccione Básico y haga click en Iniciar sesión.

A continuación vuelva a conectarse, esta vez, seleccione el cliente Premium.

7. Cierre Internet Explorer y vuelva a abrirlo.

8. En la barra de dirección, escriba https://denver.nwtraders.msft/exchange.

Aparecerá la pantalla de inicio de sesión Autenticación basada en formularios.

9. En el cuadro Dominio\nombre de usuario, escriba nwtraders\kimyo.

10.En el cuadro Contraseña, escriba P@ssw0rd.

11.En Cliente, confirme que está seleccionado Premium y haga click en el botón de inicio de sesión.

La pantalla de OWA tiene ahora casi la misma apariencia que el usuario podría ver en su escritorio con Outlook 2003.

12.Cierre Internet Explorer.

Configuración de Exchange Server para utilizar RPC sobre HTTPGuía Pasos

CAMBIE DENVER

El proxy RPC sobre HTTP es un componente opcional de Windows que se debe instalar en el servidor Exchange.

Como RPC sobre HTTP utiliza la autenticación básica, debe implementar SSL para cifrar todos los datos que se transmiten entre los clientes y el servidor. Para habilitarlo, se instala un certificado en este equipo.

1. 2. 63

El paso siguiente es configurar el directorio virtual de RPC. Confirme que se ha instalado un certificado válido y configure la autenticación.

1. Abra el Administrador de Servicios de Internet Information Server (IIS).

2. En el árbol de la consola, expanda Denver (equipo local).

3. Expanda Sitios Web.4. Expanda Sitio Web predeterminado.5. Haga click con el botón secundario del mouse

en RPC y, después, haga clic ken Propiedades.

6. En el cuadro de diálogo Propiedades de RPC, haga click en la ficha Seguridad de directorios.

7. En la ficha Seguridad de directorios, en el área Comunicaciones seguras, haga click en Ver certificado.

8. En el cuadro de diálogo Certificado, compruebe que la información del certificado indica que el propósito del certificado es proteger la identidad de un equipo remoto y haga click en Aceptar.

9. En la ficha Seguridad de directorios, en el área Autenticación y control de acceso, haga click en Edición.

10.En el cuadro de diálogo Métodos de autenticación, desactive la casilla de verificación Habilitar acceso anónimo.

11.En Acceso autenticado, active la casilla de verificación Autenticación básica (la contraseña se envía como texto no cifrado).

12.Lea la advertencia y, después, haga click en Sí en el cuadro de diálogo Administrador de IIS.

13.En el cuadro de diálogo Métodos de autenticación, haga click en Aceptar.

14.En el cuadro de diálogo Propiedades de RPC, haga click en Aceptar.

15. Cierre el Administrador de Servicios de Internet Information Server (IIS).

1. 2. 64

Se necesita un editor del Registro para configurar el servidor proxy RPC de modo que utilice números de puertos específicos para RPC sobre HTTP. Los cambios ya se han realizado en el servidor Exchange. En la clave del Registro, seguiría enumerando todos los servidores de la red corporativa con los que el servidor proxy RPC tendría que comunicar.

16.En el menú Inicio, haga click en Ejecutar.17.Escriba regedit y haga click en Aceptar. 18.Diríjase a HKEY_LOCAL_MACHINE\

Software\Microsoft\ Rpc\RpcProxy y haga click en RpcProxy.

19.En el panel de detalles, haga click con el botón secundario del mouse en Puertos válidos y, después, haga clic en Modificar.

20.En el cuadro de diálogo Editar cadena, en el cuadro de datos Valor, indique las entradas siguientes:

denver:593;denver.nwtraders.msft:593;denver:6001-6002;denver.nwtraders.msft:6001-6002;denver:6004;denver.nwtraders.msft:6004

21.Haga click en Aceptar.Los servidores de catálogo global del bosque NWTraders se deben configurar de forma que utilicen números de puerto específicos para RPC sobre HTTP. Además, para ello se debe modificar el Registro.

22.Diríjase a:HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\ NTDS\Parameters

23.Haga doble click en Secuencias de protocolo de interfaz de NSPI.

24.En el cuadro de datos Valor, indique que la entrada agregada fue ncacn_http:6004.

25.Cierre el Editor del Registro.

Configuración de un perfil de Outlook para utilizar con RPC sobre HTTP CAMBIE LONDON

Guía Pasos

Para actualizar Office 11 en el equipo London de modo que se pueda utilizar RPC sobre HTTP, se debe instalar un hotfix de Office Update, que se puede descargar del sitio Web de Microsoft.

1. 2. 65

Cree un perfil de Outlook para utilizarlo con RPC sobre HTTP.

1. Inicie sesión como bensmith con la contraseña P@ssw0rd.

2. En el menú Inicio, haga click con el botón secundario del mouse en E-mail Microsoft Office Outlook y, después, haga click en Propiedades.

3. En Configuración de correo, en Perfiles, haga click en Mostrar perfiles.

4. En Correo, haga click en Agregar.5. En Nuevo perfil, en el cuadro Nombre de perfil,

escriba RPC-HTTP.6. Haga click en Aceptar. 7. En el Asistente para cuentas de correo

electrónico, compruebe que la opción Agregar una nueva cuenta de correo electrónico está seleccionada y haga clic en Siguiente.

8. En la página Tipo de servidor, haga click en Microsoft Exchange Server y, después, haga click en Siguiente.

9. En la página Configuración de Exchange Server, en el cuadro Microsoft Exchange Server, escriba denver.nwtraders.msft.

10.Compruebe que la casilla de verificación Usar modo de Exchange en caché está activada.

11.En el cuadro Nombre de usuario, escriba Kim Yoshida.

12.Haga click en Más configuraciones y, después, en el cuadro de diálogo Conectar a, haga click en Cancelar.

Debe especificar la configuración de conexión para el servidor.

13.En el cuadro de diálogo Microsoft Exchange Server, haga click en la ficha Conexión.

14.En la ficha Conexión, active la casilla de verificación Conectar a mi buzón de Exchange con HTTP y, después, haga click en Configuración de proxy de Exchange.

15.En la página Configuración de proxy de Exchange, en el cuadro Usar esta dirección URL para conectar con mi servidor proxy para Exchange, escriba denver.nwtraders.msft.

16.Compruebe que la casilla de verificación Conectar utilizando sólo SSL está activada.

17.Active la casilla de verificación Autenticar mutuamente la sesión al conectar con SSL.

1. 2. 66

Para la autenticación mutua, también debe especificar cómo conectar a un servidor de catálogo global. Puede emplear la autenticación básica porque utiliza SSL para la conexión.

18.En el cuadro Nombre principal del servidor proxy, escriba msstd:denver.nwtraders.msft.

19.Active la casilla de verificación En redes rápidas, conectar a Exchange usando HTTP primero y con TCP/IP después.

20.En el área Configuración de autenticación proxy, en el cuadro Usar esta autenticación al conectar a mi servidor proxy para Exchange, haga click en Autenticación básica y, después, haga click en Aceptar.

21.En el cuadro de diálogo Microsoft Exchange Server, haga click en Aceptar.

22.En el Asistente para cuentas de correo electrónico, haga click en Siguiente.

23.Haga click en Finalizar. 24.En el cuadro de diálogo Correo, haga clic en

Solicitar un perfil y haga clic en Aceptar.

Comprobación de RPC sobre HTTPGuía Pasos

Para comprobar que Outlook se comunica con Exchange mediante RPC sobre HTTP, inicie Outlook y verá la configuración de las conexiones.

1. Haga click en Inicio y, después, haga click en E-Mail Microsoft Office Outlook.

2. En el cuadro de diálogo Escoger perfil, en el cuadro de diálogo Nombre de perfil, haga click en RPC-HTTP y, después, haga click en Aceptar.

3. Cuando se le pregunten las credenciales, escriba nwtraders\kimyo con la contraseña P@ssw0rd y haga click en Aceptar.

4. En la bandeja Aplicación de la esquina inferior derecha del escritorio, mantenga presionada la tecla Ctrl y haga click con el botón secundario del mouse en el icono de Outlook.

5. Haga click en Estado de conexión. 6. En Estado de conexión, compruebe que el tipo

de conexión para todas las conexiones de correo es HTTPS.

La S de HTTPS indica que SSL se utiliza para cifrar los datos.

7. Cierre la ventana Estado de conexión. 8. Cierre Outlook.

1. 2. 67

Uso de ISA Server para publicar Exchange CAMBIE VANCOUVER

Guía Pasos

Hasta ahora, hemos tenido acceso al servidor Exchange mediante HTTPS, que suele ser uno de los pocos protocolos que pueden pasar a través de servidores de seguridad. Sin embargo, en muchos casos también es conveniente publicar otros protocolos de correo. Para utilizar ISA Server a fin de publicar un servidor Exchange, puede emplear el Asistente para proteger correo. Aquí configurará permiso para el tráfico entrante que utiliza otros protocolos de correo a través de un servidor donde se ejecuta ISA Server.

1. Haga click en Inicio, seleccione Todos los programas, seleccione Microsoft ISA Server y, después, haga click en Administración de ISA Server.

2. Expanda Servidores y matrices, expanda Vancouver y, después, haga click en Publicación.

3. En el panel de detalles, seleccione Proteger el servidor de correo y haga click en Siguiente.

4. Active las casillas de verificación siguientes:

SMTP entrante: Autenticación predeterminada, Autenticación SSL

SMTP saliente: Autenticación predeterminada, Autenticación SSL

PO3 entrante: Autenticación predeterminada, Autenticación SSL

Deje el resto de casillas de verificación en blanco.

5. Haga click en Siguiente.

6. En el cuadro Dirección IP externa, escriba 26.1.1.1 y haga click en Siguiente.

7. En el cuadro En esta dirección IP, escriba 10.10.0.2 y haga click en Siguiente.

8. Haga click en Finalizar.

Como resultado de la ejecución del asistente se han creado varias reglas nuevas de publicación.

9. Expanda Publicación y haga click en Reglas de publicación en servidor.

10.Seleccione cada nueva regla del Asistente para correo que exista ahora.

CAMBIE LONDON

Vamos a utilizar la cuenta de Outlook Express correspondiente a Ben Smith para comprobar que hemos publicado correctamente el servidor Exchange.

11.Abra Outlook Express.

12.En el cuadro de diálogo Outlook Express, haga click en No.

13.Cree un nuevo mensaje de correo dirigido a kimyo@nwtraders.msft y envíelo.

14.Haga click en el botón Barra de herramientas Enviar o recibir y confirme que no aparece ningún mensaje de error.

1. 2. 68