martes, 14 de diciembre de 2010

viernes, 3 de diciembre de 2010

Creando RAID por Software con Linux

RAID (Arreglo Redundante de Discos Independientes), hace referencia a un sistema de almacenamiento que usa múltiples discos duros. Dependiendo de su configuración (nivel) con RAID tendremos: mayor integridad, mayor rendimiento, mayor tolerancia a fallas, mayor capacidad y redundancia.

Existen seis niveles diferentes de RAID de los cuales solo tres están disponibles para software: RAID 0, RAID 1 Y RAID 5. Aquí voy a crear un RAID 1.

Crear RAID 1

Crearemos un arreglo de 2 discos duros con la utilidad “mdadm”, en este caso nuestro sistema reconoce a los disco como hdb y hdd respectivamente. Asumimos que tenemos dos particiones hdb1 y hdd1, ambas con 500 MB de tamaño. Finalmente montamos el arreglo en la partición /var/cache.

Procedimiento:

1. Creamos el arreglo RAID 1, lo denominamos /dev/md0, compuesto por las particiones hdb1 y hdd1. Usamos el comando “mdadm”. De la siguiente manera:

mdadm --create --verbose /dev/md0 --level=1 --raid-devices=2 /dev/hdb1 /dev/hdd1

Luego ejecutamos:

2. Damos formato al arreglo /dev/md0, con ext3 como sistema de archivos. Usamos mkfs.ext3

3. Montamos el dispositivo raid /dev/md0 en algún directorio, para este caso sobre /var/cache

4. Agregamos la línea correspondiente al arreglo /dev/md0 en /etc/fstab

5. Finalmente comprobamos que RAID haya sido montado. Con df -h


Podemos testear y comprobar que el arreglo este correcto, con el siguiente mandato:


Protección de GRUB

Es importante proteger el gestor de arranque GRUB, para evitar que personas no autorizadas puedan ingresar al sistema. Para ello le asignamos una contraseña, y podemos hacerlo de 2 formas:

1. Al momento de la instalación en la configuración de gestor de arranque podemos ingresar una contraseña.

2. Usamos el comando grub-md5-crypt, la que asignará una contraseña encriptada.

3. Para activar la contraseña encriptada, editamos el fichero grub.conf, que se encuentra en /etc /grub/grub.conf . Copiamos la contraseña encriptada de la siguiente manera:

password -- md5 (seguido de la contraeña encriptada -- ver imagen)


Recuperar la contraseña de ROOT en CentOS

Procedimiento: Solo seguimos los siguientes pasos.

1.-
Reiniciar la PC.

2.- Al cargar GRUB para escoger el sistema operativo, nos colocamos en la que corresponde a nuestra distribución y pulsamos la tecla “e” para entrar al modo de edición.

3.- En la siguiente ventana veremos varias líneas, que son los argumentos con los que inicia el sistema, nos colocamos en la que dice “kernel” y pulsamos “e” para editarla.

4.- En la siguiente ventana al final de la línea separamos con un espacio en blanco y escribimos “single” ó “1”, para ingresar al modo monousuario, pulsamos ENTER para ingresar.

5.- Otra vez nos colocamos sobre la línea del “kernel” y pulsamos “b” para iniciar el sistema.

6.- Una vez que estamos en el modo monousuario ejecutamos el comando passwd, para cambiar la contraseña. Finalmente reiniciamos el sistema para que haga efecto el cambio ejecutamos “reboot”.

lunes, 22 de noviembre de 2010

¿Qué tan aficionado eres de Linux? Conoce tu Nivel!

Estuve paseando por la web encontré este artículo, me pareció divertido se los comparto.


¿Cuál es tu Nivel?

Nivel 5: el usuario utiliza Linux y guindous indistintamente a conveniencia, ya que acepta que ninguno de los dos SO por sí mismos cubre todas sus expectativas, así que se divide entre los dos según lo que le haga falta. No toma partido por uno o por otro, sabe que tanto uno como otro tiene sus pro y sus contras, así que los acepta tal cual como son.

Nivel 4: el usuario utiliza Linux porque realmente le parece que cumple con todos los requisitos, y cubre sus expectativas diarias, no le hace falta guindous ya que todo lo que podría hacer sobre el, lo puede realizar en Linux sin ningún tipo de impedimento. A la hora de recomendar un SO a un tercero, antes de elegir a Linux, evalúa la situación y termina recomendando el SO que más se adapte al usuario.

Nivel 3: el usuario utiliza Linux públicamente sin embargo en privado utiliza guindous y lo oculta, como si fuera un gran pecado, o si se tratara de cocaína o fotos pornográficas de su madre en tanga. Defenderá a Linux a muerte, pero ocultará su guilty pleasure a los demás por miedo de dejar de ser parte de esa comunidad que para él es de una elite superior.

Nivel 2: el usuario utiliza Linux, solo usa lineas de comando y ya hace años que no le hace un doble click a un icono. No utiliza MSN ni GTalk, solo el MIRC. Se pasa el día paseándose por foros y blogs insultando a todo aquél que no piensa como el. Hackeó la web de Mocosoft, el buscador Google, y Yahoo utilizando solo un block de notas, lo hizo porque podía hacerlo y para demostrarle al mundo que era el mejor de todos. Para éste usuario, si está en internet, entonces es gratis, baja series de TV, música, películas, y luego se jacta públicamente de tenerlas antes que todos.

Nivel 1: utiliza Linux. Solo bebe agua, ya que para él, no saber la fórmula de la Coca Cola es como no saber el código fuente de un SO. Cuando niño le dejaron de regalar juguetes ya que siempre los desarmaba, se negaba a jugar con algo cuyo funcionamiento era un misterio. Tampoco utiliza nada que sea parte de ningún monopolio, fabricó su propia pc a la edad de 10 años con piezas creadas por el mismo por estar en contra de dar dinero a cambio de hardware, para el, el hardware debería de ser libre. No festeja navidad ya que para el, es solo una fecha en el que el libre comercio se basa para poder subsistir todo el verano. Tampoco cree en Papa Noel, ya que descubrió que era un producto comercial creado por Coca Cola, la misma empresa de la fórmula privativa. Odia a su abuela, ya que cocina unos fideos con tuco alucinantes, gracias a una receta secreta milenaria de la familia, la cual al ser secreta, es privativa.


Listas Negras - BlackLists

Existen numerosos sistemas antispam, pero uno de los mas extendidos son las listas de spam. Para entenderlo, son unas listas de las que los servidores de correo pueden hacer uso para aceptar o denegar correos provenientes de ciertas IP´s. Si la IP esta listada en una de esas listas y el servidor de correo comprueba contra esa lista, no aceptara el correo que venga de esa IP listada.

Para saber si una determinada IP está listada existen multitud de "RBL lookups" (Realtime Blackhole List lookup), o "DNSBL lookups", basta con buscarlos en internet. Pueden ser IP´s de origen, o de cualquier SMTP a través del cual pase el correo. Uno de los mas usados es: simplemente escogemos la opción Blacklists e ingresamos la IP que queremos saber:

http://www.mxtoolbox.com/

Repito, estos no son las listas en si, si no buscadores que nos dicen si la IP que metemos esta listada en alguna RBL, o lista de spammers.

Aparte de estas listas también existen sistemas de reputación. Estos sistemas determinan si la actividad originada por una determinada IP esta dentro de unos parámetros aceptables. Generalmente si una IP está en listas de spammers, su reputación será mala. Les hablo por ejemplo de:

http://www.senderbase.org/

Al igual que con las listas de spam, si algun ssistema de correo usa en este caso senderbase, y senderbase le dice que la reputación de la IP de origen es pobre, no aceptara ese correo por razones obvias. Si una IP que gestionemos o administremos está en listas de spam o tiene reputación pobre muy probablemente estemos siendo víctimas de algún robo de contraseña de alguna de nuestras cuentas de correo, o estemos infectados por algún botnet (del que hablaré mas adelante) en nuestra LAN.

Mucho ojo con estos temas ya que nos pueden dar mas de un dolor de cabeza. Lo mejor para estos casos es tener buenos sistemas de seguridad, algún sistema antispam que nos de garantías, y sobre todo minimizar riesgos (contraseñas robustas etc).

¿Por qué mi Red está lenta?

Muchas veces el administrador de sistemas se habrá preguntado porque su red va lenta, que es lo que ocurre, si es que hay algún software malintencionado saturando la red, o si hay algún usuario haciendo un uso exhaustivo de la red (p2p etc).

Lo cierto es, que las herramientas de análisis de red requieren conocimientos avanzados, y son arduas de utilizar y generalmente en organizaciones pequeñas precisamente lo que falta es tiempo y recursos. Solo las organizaciones grandes pueden permitirse el lujo de tener su propio departamento de seguridad de red (quienes se ocupan de crear las reglas en sus firewalls, crear y mantener la DMZ, WIFI, VPN y demás), en el resto de empresas, la labor de dar seguridad la red y de mantener la buena actividad de la misma, sigue siendo una de las muchas que debe afrontar el departamento de informática.


¿Qué podemos hacer entonces?

Usar Ntop que es un proyecto Open Source para sistemas UNIX como puede serlo cualquier distribución Linux. Lo que nos permite es poder medir el tráfico de cada uno de los hosts de nuestra red, dividiendo este trafico entre diferentes servicios/protocolos (http, ftp, ssh, snmp...), pudiendo de esta manera detectar equipos infectados, o equipos que emitan demasiado tráfico por alguna razón no normal (generalmente porque están llenas de virus aquellas que saturan la red con tráfico Broadcast).

Lo que necesitamos en un equipo (puede ser un equipo viejo que esté en desuso), con al menos una tarjeta de red (que pueda ser habilitada en modo promiscuo para escuchar todo el tráfico de red), y que tenga un sistema UNIX instalado, si no se lo instalamos. En este caso explicaré como hacerlo con una distro RedHat bueno CentOS, instalamos:

Podemos instalar ntop sin problemas con yum pero existen muchas mejoras extras en la nueva versión por lo cual mejor compilaremos el paquete.

1) Instalaremos la dependencias necesarias para la compilación.

# yum install gcc make libtool gdbm-devel zlib-devel

2) Descargaremos la herramientas de rrdtool en la versión 4.

# wget http://www.express.org/~wrl/rrdtool/rrdtool-perl-1.4.4-1.el5.wrl.i386.rpm
# wget http://www.express.org/~wrl/rrdtool/rrdtool-1.4.4-1.el5.wrl.i386.rpm
# wget http://www.express.org/~wrl/rrdtool/rrdtool-devel-1.4.4-1.el5.wrl.i386.rpm

3) Instalamos los 3 paquetes que descargamos:

# rpm -ivh *.rpm

4) Instalación de dependencias de ntop

# yum install libpcap-devel libpcap geoip geoip-devel php-pear python python-devel

5) Instalamos la aplicacion geoip para poder utilizar los mapas de google maps

# pecl install geoip

6) Descargamos la nueva versión de ntop dentro /opt

# cd /opt

Buscamos en la web ntop.tar.hz (descarguen la versión mas actual)

7)Descomprimimos el fichero descargado.

# tar -zxvf ntop-3.3.6.tar.gz

8) Entraremos a la carpeta ntop-3.3.6 y ejecutamos el siguiente comando.

# ./autogen.sh

9) terminado esto solamente queda compilar e instalar.

# make

# make install

10) Creamos usuario ntop y le damos permiso a los directorios ntop:

# useradd -M -s /sbin/nologin -r ntop

Damos permisos a usuario ntop:

# chown ntop:root /usr/local/var/ntop/

# chown ntop:root /usr/local/share/ntop/

11) Asignamos un password al administrador de ntop:

# ntop -A

Mon Nov 22 18:43:44 2010 NOTE: Interface merge enabled by default
Mon Nov 22 18:43:44 2010 Initializing gdbm databases
ntop startup - waiting for user response!
Please enter the password for the admin user:
Please enter the password again:
Mon Nov 22 18:43:52 2010 Admin user password has been set

11) Podremos ejecutar ntop de la siguiente manera.

# /usr/local/bin/ntop -d -L -u ntop -P /usr/local/var/ntop - -skip-version-check --use-syslog=daemon

Si tenemos múltiples interfaces (eth0, eth1...) ejecutamos:

# /usr/local/bin/ntop -i "eth0,eth1" -d -L -u ntop -P /usr/local/var/ntop - -skip-version-check --use-syslog=daemon

12) Entramos a la aplicación vía web de la siguiente manera:

http://localhost:3000


Libertad es una palabra amplia

Durante estos últimos días, un amigo me preguntó ¿cuál era la mejor distro Linux?, recordé que alguna vez estuve leyendo un artículo sobre batallas de egos. Ya no sólo fue “todos contra Windows y el software privativo, sino la eterna lucha mi distro es mejor, tu distro es peor. Muchos se olvidan de lo que significa la libertad en el Software Libre, y no sólo de eso, sino de la primera libertad: la libertad de elegir que herramienta utilizar.
La libertad no es sólo el derecho a elegir lo que creemos mejor, sino a respetar lo que el resto cree mejor. Esto último a menudo se confunde con el evangelizar, con el creer que la gente cuya decisión fue diferente a la nuestra es ignorante, y al intentar obligarlo a pensar de la misma manera en la que nosotros lo hacemos es de alguna manera coartar su propia libertad. Este es el fanboy: el que no sólo cree que tomó la mejor decisión sino que además no tolera que otros tomen otras decisiones.

Dentro de toda comunidad siempre está el fanboy: el fanboy de Apple, el fanboy de Windows (aunque no conozca deben existir) , el fanboy de Linux, y dentro de Linux, los fanboys de distintas distros. He leído tanto a fanboys de Ubuntu como a los que tienen un profunda aberración hacia ella, y me parece una discusión absurda; si vamos a luchar por nuestra libertad, lo menos que podemos hacer es respetarla. La decisión sobre que Sistema Operativo utilizar, y más profundo aún, sobre qué ideales perseguir al hacerlo, es una decisión que sólo puede tomar cada uno y que debe estar basado en sus propias opiniones y convicciones. Por lo tanto, pedirle de un día para otro a un usuario que toda la vida estuvo acostumbrado a Windows y a crackear aplicaciones que se pase a un Sistema Operativo completamente libre (tal como Trisquel o gNewSense) porque sí, es ilógico. Es necesario explicar qué es el Software Libre y qué significa esta libertad para que luego pueda tomar la decisión de acercarse y ver que no por ser Software Libre tiene que ser inferior o feo. La elección debe estar basada en el conocimiento, y ahí es donde se necesita ayudar.

Nunca olviden que la libertad es igual para todos, y si yo tengo el derecho a elegir, los que me rodean también; y esta elección debe ser propia de cada uno.

viernes, 10 de septiembre de 2010

Cuotas de Disco

La utilización de cuotas de disco permite gestionar de manera eficiente el espacio compartido en disco por múltiples usuarios. Por ejemplo cuando tenemos un servidor de correos.

Instalación

Primero debemos instalar el paquete necesario para trabajar con cuotas. De la siguiente manera:

# yum -y install quota

Procedimientos

  1. Debemos iniciar el sistema en el nivel de ejecución 1 (mono usuario), ya que se requiere no haya procesos activos.

  2. Previamente deberíamos haber asignado una partición dedicada, por ejemplo: /home , /var.

  3. Con la finalidad de añadir soporte de cuotas para las partición asignada, añadimos al fichero /etc/fstab los parámetros usrquota y grpquota. Veamos la última línea

4. Remontamos la partición para que surtan efecto los cambios.

5. Creamos los ficheros aquota.user, aquota.group, quota.user, quota.group, para almacenar la información y estado de las cuotas en cada partición. Dentro de la partición asignada.

  1. Ejecutamos quotacheck -avug, para convertir los ficheros de texto vacíos en formato binario.

  2. Activamos las cuotas, ejecutamos: quotaon /home

  3. Regresamos al nivel de ejecución 3 ó 5 para probar las cuotas.

Tipos de Cuotas

Cuota Absoluta

Es la cuota fijada en espacio de disco absoluta que el usuario no podrá rebasar de ninguna manera. Usamos comando edquota .

Cuota de gracia

La cuota de gracia establece el límite de bloques o inodos que un usuario tiene en una partición. Por defecto el periodo de gracia es de 7 días. Una vez excedido el límite establecido, el sistema advierte que se ha excedido la cuota de disco; sin embargo permite al usuario continuar escribiendo hasta que transcurra el tiempo establecido por el periodo de gracia. Modificamos el periodo con el comando edquota -t.

Asignando Cuotas

Comando edquota:

Con este comando asignamos las cuotas de disco a los usuarios de la siguiente manera. Previamente deberíamos haber creado usuarios.

Ejemplo: Asignamos al usuario ricardo una cuota absoluta de 4 MB:

Comprabando cuota de Disco

Para comprobar que hemos asignado la cuota correctamente. Iniciamos una sesión con el usuario y copiamos por ejemplo el contenido de /var/lib en el directorio personal.

Verificamos: ejecutamos comando quota.

Podemos ver las cuotas de disco de todos los demás usuarios: requota -a

Sistema de Archivos Linux

El Sistema de Archivos de Linux

El Sistema de Archivos de Linux es básicamente la estructura en la que se almacena toda la información del sistema y de la computadora. Este sistema esta organizado de manera jerárquica a la forma de un árbol al revés. En la parte superior esta el directorio raíz representado por una barra simple “/” y por debajo de este un conjunto de directorios comunes del sistema Linux.

Consolas Virtuales y SHELL

Una vez instalado el sistema Linux, tenemos 2 vías para interactuar con él: una gráfica y una texto llamada consola o terminal.

Al igual que Unix, Linux ofrece el mecanismo de consolas o terminales virtuales, que consiste en que a partir de una entrada (teclado) y una salida (monitor) se simulen varias terminales,donde el mismo o distintos usuarios puedan conectarse indistinta y concurrentemente.

De esta forma se puede tener más de una sesión abierta en la misma máquina y trabajar con ellas indistintamente. Esto facilita la característica multiusuario del sistema GNU/Linux, pues cada conexión se puede realizar con diferentes usuarios.

El programa que se ejecuta en Linux cada vez que un usuario se conecta y que le permite interactuar con el sistema se conoce com

o shell, éste es capaz de interpretar una gama de comandos y sentencias.

Existen muchos tipos de shells como por ejemplo: csh(C shell), tcsh(extensión del csh), ksh(Korn shell), bsh(Bourne shell) y el más usado: bash(Bourne Again Shell).

A continuación tenemos la estructura de la shell de Linux:

jueves, 14 de enero de 2010

Los 10 errores de un Administrador de Redes

Leí esto en internet me pareció interesante....

Por: Carolyn Duffy Marsan, Network world

Cuando se observan los peores casos de violación de seguridad corporativa, está claro que los administradores de red continúan cometiendo las mismas equivocaciones una y otra vez, y que muchos de estos errores son fáciles de evitar.

“Solo no estamos haciendo lo fundamental,” dice Peter Tippett, vicepresidente de innovación y tecnología de Verizon, que ha estado revisando violaciones de seguridad por 18 años

Información relacionada


La misma contraseña para todo, el mayor riesgo para la seguridad

En 2008, Verizon Bussiness analizaba 90 violaciones de seguridad que representaron 285 millones de expedientes comprometidos. La mayor parte de estos incidentes implicaron al crimen organizado, que encontraba un acceso desprotegido a una red usado para robar los datos de una tarjeta de crédito, los números de la seguridad social u otra información de identificación personal.

10 historias lamentables de pérdida de datos

Lo que es asombroso es cuantas veces estas violaciones de seguridad fuerion el resultado de que los administradores de red olvidaban tomar medidas obvias para asegurar sus sistemas, particularmente los servidores no críticos.

“Solo no estamos haciendo lo fundamental,” dice Peter Tippett, vicepresidente de innovación y tecnología de Verizon Bussiness, que ha estado revisando violaciones de seguridad por 18 años.

Tippett nos ayudó a juntar una lista de las medidas más simples que un administrador de red puede tomar para eliminar la mayoría de violaciones de seguridad. No seguir los puntos de esta lista sería, simplemente estúpido.

  1. Cambio de contraseñas por defecto en todos los dispositivos de la red.

    Administradores de sistemasTippett dice que es “increíble” cuantas veces las corporaciones tienen un servidor, switch, ruteador o dispositivo de red con la contraseña por default -- típicamente “password” o “admin” -- aún habilitada. La mayoría de los CIO's (por sus siglas en inglés Chief Information Officer) piensa que este problema nunca podría sucederles, pero Tippett lo ve diariamente.

    Para evitar este problema, usted necesita activar un explorador de vulnerabilidades en cada dispositivo de su red con una dirección IP, no solamente los sistemas críticos o conectados a Internet, dice Tippett. Luego necesita cambiar las contraseñas por default que encuentre por algo más. Más que la mitad de los registros comprometidos el año pasado fueron el resultado de usar la contraseña por default en un dispositivo de red, según el estudio de Verizon Bussiness.

    2. Distribución de contraseñas a través de múltiples dispositivos de red.

    Los departamentos de IT utilizan a menudo la misma contraseña a través de múltiples servidores y mucha gente sabe la contraseña. Podría ser un buen password -- una cadena complicada de números y letras -- pero una vez que se ha compartido entre varios sistemas, todos estos están en riesgo

    Por ejemplo, una de las personas que sabe la contraseña, podría cambiar de trabajo y reutilizarla en su nueva empresa. O un empleado contratado por fuera (outsourcer) que maneja un sistema no crítico, tal como el sistema de enfriamiento del centro de datos, podría utilizar la misma contraseña en todos los sistemas que administra para todos sus clientes. En cualquier caso, si la contraseña es descubierta por un pirata informático (hacker), este puede acceder a muchos servidores y dar rienda suelta a provocar daños.

    Tippett dice que los departamentos necesitan un proceso -- automatizado o manual -- para cerciorarse de que las contraseñas del servidor no sean compartidas entre sistemas múltiples, se cambien regularmente y se mantengan seguras. Dice que es tan simple como mantener las contraseñas actuales anotadas en tarjetas que son mantenidas en una caja de seguridad controlada por una persona.

    3. No poder encontrar errores de codificación de SQL.

    El ataque "hack" más común -- que representa el 79% de los registros comprometidos -- es contra una base de datos SQL conectada a un servidor web. La manera en que los piratas informáticos acceden a estos sistemas es incorporando un comando de SQL a una forma web (formulario de captura). Si la forma se cifra correctamente, no debe aceptar comandos de SQL. Pero a veces accidentalmente los desarrolladores crean lo que se conoce como errores de inyección SQL.

    Tippett dice la manera más fácil de prevenir estos errores es ejecutar un firewall en modo “de aprendizaje”, de modo que pueda ver cómo los usuarios incorporan datos en un campo y después poner el firewall en modo “operativo” para que los comandos SQL no puedan ser "inyectados" en un campo. El problema de codificación de SQL es extenso. “Si una compañía prueba 100 servidores, probablemente encontrará un problema de inyección SQL en 90 de ellos,” dice Tippett.

    A menudo, las compañías reparan solamente los errores de inyección SQL en sus servidores críticos, olvidando que la mayoría de los piratas informáticos acceden a sus redes a través de sistemas no críticos. Tippett sugiere que los administradores de red dividan sus redes en segmentos usando listas de control de acceso para restringir a los servidores de "hablar" con dispositivos no esenciales. Esto evitaría que un pirata informático ganara extenso acceso a datos gracias a un error de codificación inevitable de SQL.

    4. Desconfiguración de listas de control de acceso.

    Segmentar su red usando listas de control de acceso (ACL) es la manera más simple de cerciorarse de que los sistemas se comunican solamente con los sistemas que deben. Por ejemplo, si usted permite que los socios comerciales tengan acceso a dos servidores en su red con su VPN, debe utilizar las listas de control de acceso para cerciorarse de que estos tienen solamente acceso a los dos servidores. Así, si un pirata informático entra en su red por el acceso para socios comerciales, puede acceder solamente a los datos sobre estos dos servidores.

    “A menudo un chico malo que entra en la red vía VPN tiene acceso a todo,” dice Tippett. De hecho, teniendo correctamente configuradas listas de control de acceso se habrían protegido el 66% de los registros que fueron comprometidos el año pasado, según el informe de Verizon. La razón por la que los CIO's no toman esta simple medida, es que implica el uso de sus rutedores como firewalls, y muchos encargados de red no quieren hacerlo.

    5. Permitir la administración y acceso remotos de software no seguro.

    Una de las formas más populares para que los piratas informáticos accedan a su red es utilizar y administrar un paquete de programas informáticos con acceso remoto, tal como PCAnywhere, Virtual Network Computing (VNC) o Secure Shell (SSH). A menudo, estas aplicaciones carecen de las más básicas medidas de seguridad, tales como buenas contraseñas.

    La manera más simple de encontrar este problema es ejecutar una exploración externa a través de su espacio entero de direcciones IP, para buscar tráfico de PCAnywhere, VNC o SSH. Una vez que usted encuentre estas aplicaciones, ponga las medidas de seguridad adicionales en ellas tales como tokens o certificados además de contraseñas. Otra opción es explorar el flujo de datos de sus ruteadores externos y ver si tiene algún acceso remoto para administrar tráfico fluyendo a través de su red.

    Este problema es bastante común para contar con el 27% de los registros comprometidos en el reporte de Verizon Bussiness.

Una vez que los hackers se meten a tu red, pueden poner su tienda, tomarse su tiempo y observar tu tráfico.

      1. No poder probar vulnerabilidades básicas en aplicaciones no críticas.

        Cerca del 80% de los ataques "hack" son el resultado de agujeros de seguridad en aplicaciones web, según el informe de Verizon Bussiness. Los administradores de red saben que su vulnerabilidad más grande está en aplicaciones web, así que ponen todo su esfuerzo en la prueba de sus sistemas críticos y sistemas conectados a Internet.

        El problema es que la mayoría de los ataques refuerza errores de seguridad en sistemas no críticos dentro de las redes. “El mayor problema es que estamos probando como locos las aplicaciones web críticas, y no estamos probando las aplicaciones no-Web,” dice Tippett. Recomienda a los administradores de red probar vulnerabilidades básicas en todas sus aplicaciones.

        "La gente ha sido enseñada por siempre a enfocarse enlas cosas por orden de importancia crítica", pero los chicos malos no saben que es crítico o no. Entran en el orden de cuán fácil es”, dice Tippett. “Una vez que los hackers se meten a tu red, pueden poner su tienda, tomarse su tiempo y observar tu tráfico.”

        7. No proteger adecuadamente sus servidores contra software malicioso.

        El software malicioso (malware) en los servidores explica el 38% de las violaciones de seguridad, dice Verizon Bussiness. La mayoría del software malicioso es instalado por un atacante remoto y utilizado para capturar datos. Típicamente, el malware se personaliza, así que no puede ser descubierto por el software antivirus. Una forma para que los administradores de red encuentren softwares maliciosos tales como un (keylogger) o programa espía (spyware) en sus servidores es ejecutar un software de detección de intrusos en un host (host-based) en cada servidor, no solo en servidores críticos.

        Tippett sugiere una manera simple de prevenir muchos de estos ataques: Proteja los servidores de modo que ninguna nueva aplicación pueda funcionar en ellos. "Los administradores de red odian hacer eso porque puede ser que quieran agregar software nuevo más adelante,” dice Tippett. “Les digo que abran el candado, instalen el nuevo software y después cierren el candado otra vez.”



        8. No configurar los ruteadores para prohibir tráfico externo no deseado.

        Una forma popular que usa el software malicioso es poner de una puerta trasera o un intérprete de comandos en un servidor. Una forma para evitar que un pirata informático se aproveche de una puerta trasera o un intérprete de comandos es segmentar la red usando listas de control de acceso. De esta manera puede prevenir que los servidores envíen tráfico que no deben enviar. Por ejemplo, un servidor de correo debe enviar solamente el tráfico de correo, no tráfico SSH. Otra opción es utilizar sus ruteadores para aplicar por default el filtro de bloqueo de flujo externo (deny egress filtering), que bloquea todo el tráfico externo a excepción de lo que usted quiere dejar pasar a su red.

        Los “solamente 2% de compañías hacen esto. Me desconcierta en cuanto a porqué no lo hace el otro 98%,” dice Tippett. "Este tipo de filtrado es trivial.”

        9. No saber donde se almacenan datos como tarjetas de crédito u otros datos críticos de clientes.


        La mayoría de las compañías piensan que saben dónde se almacenan los datos críticos tales como información de tarjetas de crédito, números de la seguridad sociales u otra información de identificación personalmente, y refuerzan estos servidores con los más altos niveles de seguridad. Pero a menudo, estos datos se almacenan en alguna otra parte de la red, por ejemplo en un sitio de respaldo o en el departamento de desarrollo de software.



        Son estos servidores secundarios, no críticos que consiguen ser atacados y llevan a menudo a la mayoría de violaciones de datos. Una manera fácil de indagar dónde se almacenan los datos críticos es practicar un descubrimiento de red (network discovery). “Típicamente pegamos un sniffer en la red y vemos donde los datos críticos se suponen que están y vemos a donde más van,” dice Tippett.

        10. No seguir el Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago.

        El sistema de 12 controles para el trabajo de protección de información del titular de la tarjeta de pago, apodado PCI DSS, dice Tippett. “La mayoría de la gente incluso no busca cumplir los estándares PCI,” dice Tippett. A menudo una compañía sigue estos controles para los servidores donde sabe que almacena datos de tarjetas de crédito, pero no en los otros servidores desconocidos que tambien reciben estos datos críticos.

        Aunque los 98% de todos los registros comprometidos implican datos de tarjetas de pago, sólo 19% de organizaciones con violaciones de seguridad siguieron los estándares PCI, según el informe de negocio de Verizon. “Es obvio. Siga los estándares PCI. Esencialmente trabajan,” dice Tippett.

        Fuente: Network world