Siete habilidades para principiantes Mantenimiento mortal de la seguridad del servidor

¿Hay datos vitales en tu computadora y no quieres que caigan en manos de los malvados? Por supuesto, tienen esta posibilidad. Además, en los últimos años, los servidores han corrido un mayor riesgo que antes. Más y más virus, hackers y espías comerciales han hecho del servidor su objetivo. Obviamente, la seguridad del servidor no puede ser ignorada.

Es imposible decir todos los problemas de seguridad informática en un solo artículo. Después de todo, hay innumerables libros sobre este tema. Todo lo que tengo que hacer a continuación es decirle siete consejos para mantener la seguridad de su servidor.

Consejo 1: Comience con lo básico

Sé que esto suena como una tontería, pero cuando hablamos de la seguridad de los servidores web, el mejor consejo que puedo darle es No seas un laico. Cuando los piratas informáticos comienzan a atacar su red, primero comprueban las vulnerabilidades de seguridad generales antes de considerar los medios más difíciles de romper el sistema de seguridad. Entonces, por ejemplo, cuando los datos en su servidor están en una partición de disco FAT, incluso la instalación de todo el software de seguridad en el mundo no le ayudará mucho.

Por este motivo, debes comenzar desde lo básico. Debe convertir todas las particiones de disco en el servidor que contienen datos confidenciales al formato NTFS. Una vez más, debes mantener todo tu software antivirus actualizado. Le recomiendo que ejecute software antivirus tanto en el servidor como en el escritorio. El software también debe configurarse para descargar automáticamente los últimos archivos de la base de datos de virus todos los días. También debe saber que puede instalar software antivirus para Exchange Server. Este software escanea todos los correos electrónicos entrantes en busca de archivos adjuntos infectados. Cuando encuentra un virus, aísla automáticamente el correo electrónico infectado antes de que llegue al usuario.

Otra buena manera de proteger su red es limitar la cantidad de tiempo que los usuarios pasan accediendo a la red en función del tiempo que pasan en la empresa. A un empleado temporal que normalmente trabaja durante el día no se le debe permitir el acceso a la red a las 3 am a menos que el supervisor del empleado le diga que es para un proyecto especial.

Finalmente, recuerde que los usuarios necesitan una contraseña cuando acceden a algo en toda la red. Debe obligar a todos a usar contraseñas de alta intensidad que consistan en mayúsculas y minúsculas, números y caracteres especiales. Hay una buena herramienta para esta tarea en el Kit de recursos de Windows NT Server. También debe a menudo invalidar algunas contraseñas caducadas y actualizarlas para requerir que la contraseña del usuario tenga al menos ocho caracteres. Si ha realizado todo este trabajo pero sigue preocupado por la seguridad de su contraseña, puede intentar descargar algunas herramientas de piratería desde Internet y averiguar qué tan seguras son estas contraseñas.

Consejo 2: Proteja su copia de seguridad

Todo buen administrador de red sabe que debe hacer una copia de seguridad del servidor de la red todos los días y mantener las cintas grabadas lejos de la escena para protegerse contra accidentes. Sin embargo, el problema de seguridad es mucho más que una copia de seguridad. La mayoría de las personas no se dan cuenta de que su respaldo es en realidad un gran agujero de seguridad.

Para entender por qué este es el caso, la mayoría del trabajo de copia de seguridad comienza alrededor de las 10:00 o 11:00. El proceso de copia de seguridad completo generalmente termina en la mitad de la noche, dependiendo de la cantidad de datos que tenga que respaldar. Ahora, imagine que el tiempo es hasta las cuatro de la mañana y su trabajo de copia de seguridad ha terminado. Sin embargo, nada impide que alguien robe datos de sus registros de cinta y los restaure en un servidor en su hogar o en la oficina de su competidor.

Sin embargo, puedes evitar que esto suceda. Primero, puede proteger su cinta con una contraseña y si su programa de respaldo admite el cifrado, también puede cifrarlo. En segundo lugar, puede configurar el programa de respaldo para que funcione en la mañana cuando vaya a trabajar. En este caso, incluso si alguien quiere colarse y robar la cinta la noche anterior, no podrá tener éxito porque la cinta se está utilizando. Si el ladrón aún expulsa la cinta y la retira, los datos de la cinta carecen de valor.

Consejo 3: usar devolución de llamada para RAS

Una de las características más interesantes de Windows NT es la compatibilidad con el acceso remoto al servidor (RAS). Desafortunadamente, un servidor RAS es una puerta abierta para un pirata informático que intenta ingresar a su sistema. Todo lo que un pirata informático necesita es un número de teléfono y, a veces, se necesita un poco de paciencia para acceder a un host a través de RAS. Pero puede tomar algunas medidas para garantizar la seguridad del servidor RAS.

La tecnología que desee utilizar dependerá en gran medida de cómo usen RAS sus usuarios remotos. Si los usuarios remotos suelen llamar al host desde su casa o lugares similares que no cambian, le sugiero que use La función de devolución de llamada, que permite a los usuarios remotos iniciar sesión y desconectarse después. El servidor RAS luego marca un número de teléfono predefinido para volver a encender al usuario. Debido a que este número está preestablecido, el pirata informático no tiene oportunidad de establecer el número al que el servidor volverá a llamar.

Otra opción es restringir el acceso a un solo servidor para todos los usuarios remotos. Puede colocar los datos a los que el usuario generalmente accede en un punto compartido especial en el servidor RAS. Luego puede restringir el acceso a usuarios remotos a un solo servidor, no a toda la red. De esta manera, incluso si los piratas informáticos ingresan al host a través de la destrucción, estarán aislados en una sola máquina, donde el daño que causan se reduce al mínimo.

Por último, pero no menos importante, el truco consiste en utilizar un protocolo inesperado en su servidor RAS. Todos los que conozco utilizan el protocolo TCP /IP como el protocolo RAS. Teniendo en cuenta la naturaleza y el uso típico del protocolo TCP /IP en sí, esto parece una opción razonable. Sin embargo, RAS también admite los protocolos IPX /SPX y NetBEUI. Si usa NetBEUI como su protocolo RAS, realmente puede confundir a algunos piratas informáticos confiados.

Consejo 4: considere los problemas de seguridad de la estación de trabajo

Parece extraño hablar de seguridad de la estación de trabajo en un artículo sobre la seguridad del servidor. Sin embargo, la estación de trabajo es un puerto para el servidor. Reforzar la seguridad de las estaciones de trabajo puede aumentar la seguridad de toda la red. Para los principiantes, recomiendo usar Windows 2000 en todas las estaciones de trabajo. Windows 2000 es un sistema operativo muy seguro. Si no desea hacer esto, al menos use Windows NT. Puede bloquear la estación de trabajo, lo que dificulta o imposibilita que alguien sin acceso seguro obtenga información de configuración de red.

Otra técnica es controlar a qué estaciones de trabajo puede acceder una persona. Por ejemplo, hay un empleado llamado Bob, y ya sabes que él es un alborotador. Obviamente, no quieres que Bob abra la computadora de su amigo en el almuerzo o que deje caer su propia libreta y hackee todo el sistema. Por lo tanto, debe usar el Administrador de usuarios del grupo de trabajo para modificar también la cuenta de Bob para que solo pueda iniciar sesión desde su propia computadora (y dentro del tiempo que especifique). Bob es mucho menos probable que ataque la red desde su propia computadora porque sabe que otros pueden ahuyentarlo.

Consejo 5: realice una división razonable de las estaciones de trabajo y los servidores.

Otra técnica es limitar la funcionalidad de la estación de trabajo a un terminal tonto o, no tengo mejores palabras para describir, un "inteligente" "Terminal mudo. En general, significa que ningún dato y aplicaciones residen en estaciones de trabajo separadas. Cuando usa su computadora como una terminal tonta, el servidor está configurado para ejecutar los Servicios de Terminal de Windows NT y todas las aplicaciones se ejecutan físicamente en el servidor. Todo lo que se envía a la estación de trabajo no es más que una visualización de pantalla actualizada. Esto significa que solo hay una versión mínima de Windows y un cliente para Microsoft Terminal Services en la estación de trabajo. El uso de este método es quizás el diseño de red más seguro.

Utilizar un terminal inteligente "inteligente" significa que el programa y los datos residen en el servidor pero se ejecutan en la estación de trabajo. Todo lo que está instalado en la estación de trabajo es una copia de Windows y algunos íconos que apuntan a aplicaciones que residen en el servidor. Cuando hace clic en un icono para ejecutar el programa, el programa se ejecutará utilizando los recursos locales en lugar de consumir los recursos del servidor. Esto es mucho menos estresante en el servidor que ejecutar un programa de terminal completo.

Microsoft contrató a un equipo de programadores para verificar los agujeros de seguridad y corregirlos. A veces, estos parches se agrupan en un paquete grande y se lanzan como un paquete de servicio. Por lo general, hay dos versiones de parches diferentes: una versión de 40 bits que cualquier persona puede usar y una versión de 128 bits que solo se puede usar en los Estados Unidos y Canadá. La versión de 128 bits utiliza un algoritmo de cifrado de 128 bits, que es mucho más seguro que la versión de 40 bits. Si aún está utilizando un paquete de servicios de 40 bits y vive en los Estados Unidos o Canadá, le recomiendo que descargue la versión de 128 bits.

A veces, un paquete de servicio puede tener que esperar algunos meses para su lanzamiento. Obviamente, cuando se descubre un gran agujero de seguridad, no se debe esperar hasta que sea posible solucionarlo. Afortunadamente, no es necesario esperar. Microsoft lanza regularmente parches importantes en su sitio FTP. Estas revisiones son parches de seguridad que se han publicado desde la última vez que se lanzó el service pack. Le sugiero que revise el hot fix con frecuencia. Recuerde que debe usar estos parches en un orden lógico. Si los usa en el orden incorrecto, el resultado puede ser un error de versión en algunos archivos y Windows puede dejar de funcionar.

Consejo 6: use una política de seguridad sólida

Para mejorar la seguridad, otro trabajo que puede hacer es desarrollar una política de seguridad buena y poderosa. Asegúrese de que todos lo sepan y sepan que se hace cumplir. Dicha política debe incluir multas severas para un empleado que descarga software no autorizado en una máquina de la compañía.

Si usa Windows 2000 Server, es posible que pueda especificar los derechos de uso especiales del usuario para usar su servidor sin tener que entregar el control del administrador. Un buen uso es autorizar a Recursos Humanos para eliminar y deshabilitar una cuenta. De esta manera, el Departamento de Recursos Humanos puede eliminar o deshabilitar su cuenta de usuario antes de que un empleado sepa que será despedido. De esta manera, los empleados insatisfechos no tendrán la oportunidad de interrumpir el sistema de la empresa. Al mismo tiempo, con derechos de usuario especiales, puede otorgar este permiso para eliminar y deshabilitar los permisos de la cuenta y restringir la creación de usuarios o los cambios en los permisos y otras actividades.

Prueba el TechProGuild gratis! Si este artículo le resulta útil, consulte el recurso de registro de TechRepublic TechProGuild, que proporciona artículos técnicos detallados que cubren algunos temas de TI, incluidos servidores Windows y plataformas cliente, Linux, problemas de resolución de problemas y proyectos de redes digitales. La dificultad, así como NetWare. Con una cuenta de TechProGuild, también puede leer el texto completo de los libros populares de la industria de TI en línea. Haga clic aquí para inscribirse en una prueba gratuita de 30 días de TechProGuild. Consejo

7: compruebe la configuración del firewall

Nuestro último consejo incluye un análisis detallado de la configuración del firewall. Su firewall es una parte importante de la red porque aísla las computadoras de su compañía de aquellas en Internet que podrían dañarlos.

Lo primero que debe hacer es asegurarse de que el servidor de seguridad no abra las direcciones IP necesarias al mundo exterior. Siempre debe hacer visible al menos una dirección IP para el mundo exterior. Esta dirección IP se utiliza para todas las comunicaciones de Internet. Si tiene un servidor web o servidor de correo electrónico registrado en el DNS, sus direcciones IP también pueden ser visibles para el mundo exterior a través de un firewall. Sin embargo, las direcciones IP de las estaciones de trabajo y otros servidores deben estar ocultas.

También puede consultar la lista de puertos para verificar que ha cerrado todas las direcciones de puerto que no usa. Por ejemplo, el puerto TCP /IP 80 se utiliza para la comunicación HTTP, por lo que es posible que no desee bloquear este puerto. Sin embargo, nunca puede usar el puerto 81, por lo que debe estar apagado. Puede encontrar una lista de los usos de cada puerto en Internet.

Los problemas de seguridad del servidor son un gran problema. No desea que los datos críticos sean corrompidos por virus o piratas informáticos o por alguien que pueda usarlos para tratar con usted. En este artículo, introduje siete áreas a las que debería prestar atención en la próxima revisión de seguridad.