Luis's profileTips y artículos de segu...PhotosBlogListsMore Tools Help

Tips y artículos de seguridad

Luis Montenegro Mena - Microsoft MVP Security

Luis Montenegro Mena

Occupation
Location
Interests
Ingeniero Civil Electrónico
Microsoft MVP - Security (desde 2006)
Ingeniero de Proyectos @ Datco Chile
Colaborador Externo CLCERT
Colaborador Microsoft Technet Chile
Profesor Adjunto UVM Sede San Felipe
2/22/2009

Windows 7 Beta 1: Aplauso cerrado para Microsoft, señores

Debo decirlo; como buen MVP que soy no soy precisamente el fanático más devoto de todo lo que haga Microsoft. Y por lo mismo siempre me he definido como un ácido crítico de Windows Vista. Y con la llegada de Windows 7, había decidido esperar (no soy muy amigo de usar los Beta al contrario que otros colegas MVP). Sin embargo, entre la sumatoria de excelentes comentarios recibidos por muchísimos colegas – muchos de ellos críticos de Vista mucho más ácidos que yo – y el feble rendimiento de mi ya desgastado sistema operativo, decidí este fin de semana tirarme a la aventura y gastar un día para cambiar mi sistema operativo de escritorio.

Y que les puedo decir: Aplauso cerrado para Microsoft, señores. Hasta ahora, que tengo el 90% del software que uso a diario instalado (me faltan una que otra cosilla), prácticamente todo ha funcionado a la perfección. Y antes de dar paso a las alabanzas, les anoto el único problema con el que me he encontrado hasta el momento: Mi equipo no vuelve de dormir, es decir, cuando lo pongo en modo sleep y trato de volver a trabajar, la pantalla queda negra y me veo obligado a apagar y prender el equipo. Sin embargo, el sorprendente – hasta ahora – tiempo que demora en encender el equipo (un minuto a lo más v/s los casi 6 minutos de mi desgastado Vista) hace que este problema – por ahora – sea menor; basta con hacer unos pequeños ajustes a la configuración de energía y usar la opción de hibernación -  que también es sorprendentemente rápida – y listo.

Vamos a lo bueno.

Los Drivers

Lo primero que resalta a la vista del proceso de instalación de Windows 7 – que es ligeramente más corto que el de Vista – es el reconocimiento de Drivers. El sistema instaló sin problemas de manera predeterminada Audio, Video y Red (alambrada e inalámbrica), para luego de ir a un par de links instalar y dejar operativos mi lector de tarjetas y el lector de huellas digitales, algo que ni Windows 2008 pudo hacer (seamos justos, Windows 2008 no es un sistema como para darle ese uso). Y ¿por qué resalta tanto la diferencia en la facilidad para contar con los drivers en relación a Windows Vista? Sencillamente porque Windows Vista tuvo que hacer el trabajo sucio en este sentido. Windows Vista cambió radicalmente su manera de tratar los drivers en relación a Windows XP, por lo que hubo todo un proceso de adaptación por parte de los fabricantes. Esto no debería pasar con Windows 7 puesto que este sistema operativo hereda los modelos de manejo de software de su predecesor.

Compatibilidad con los programas

Este también es un buen punto. El único programa que no pude instalar fue Daemon Tools (caía en un loop tratando de instalar el driver que hace funcionar la herramienta de simulación de dispositivos ópticos. Sin embargo, todos los programas con los que frecuentemente trabajo se instalaron sin problemas y funcionan sin mayores inconvenientes.

UAC, a un precio razonable

Tengo un dicho muy entretenido sobre la seguridad: “Cualquier medida de seguridad es impopular por defecto”. Y cuando las medidas son demasiado estrictas y se aplican a usuarios poco conscientes de la seguridad de la información, estos terminan quejándose y evadiendo las medidas. Y esto pasó con User Account Control en Windows Vista. Ahora en Windows 7, UAC permite al usuario configurar en 4 niveles el grado de alertas que provee el mecanismo de seguridad. Bajando en uno el nivel por defecto, el número de advertencias disminuye notablemente sin tener que sacrificar la seguridad que UAC ofrece.

Consumo de recursos

Sobre este punto prefiero ser un poco más escéptico. El gran desafío de los sistemas operativos ante el consumo de recursos es la degradación dada por el constante uso, instalaciones, desinstalaciones y actualizaciones de programas. Toda escoba buena barre bien y hasta ahora Windows 7 con todos mis programas en ejecución está consumiendo más o menos 200 o 300 MB menos de memoria, aparte de disminuir ligeramente el consumo de CPU. Esto no quiere decir que el sistema operativo corra en un P2; igual consume 1GB de RAM en condiciones intermedias de carga.

Internet Explorer 8

Ya me había tocado usar un poco el IE8 desde mi Windows 2008. IE8 trae nuevas funcionalidades, muchas de ellas orientadas a la seguridad y que espero cubrir en un próximo review.

Experiencia de usuario

Hasta ahora, Windows 7 me ha parecido un sistema operativo muy amable en el uso. La nueva organización de la barra de tareas es mucho más amigable y la vista previa de las aplicaciones que están en la misma es bastante útil. Además usé ya el reproductor de Windows Media, que viene en un formato muy sobrio y agradable a la vista. Existen ligeros cambios en la organización del explorador de Windows, orientadas siempre a la comodidad del usuario. En ese sentido, Windows 7 sigue la línea de evolución de Windows Vista, haciendo que el cambio sea mucho menos traumático que el de Windows XP a Vista.

En líneas generales, lo vuelvo a repetir: Aplauso cerrado para Microsoft por esta beta de Windows 7, que no hace otra cosa que abrir el apetito y hacer más larga la espera para su versión final. Ahora viene el gran desafío; ver como se porta este sistema operativo a través del tiempo, cual es su tiempo de degradación y de que manera se degrada. Para ello, un post en un par de meses más.

Mi hardware:

Toshiba Satellite A135-S4487

4.0 GB de RAM (Reconoce 3)

Core 2 Dúo T5500 1,66 Ghz

2 Discos Duros SATA (220GB en total)

Tarjeta de Red inalámbrica Intel 802.1g

Tarjeta de Red Ethernet 10/100/1000

 

Mi Software:

Windows 2008 Beta 1, Ultimate Edition (y todo lo que incluye)

Office 2007 (Word, Excel, PowerPoint, Outlook, Visio, Project, Communicator)

MSAT 4.0

Microsoft E-Learning Offline Player

Microsoft Virtual Server 2005 R2 SP1 + VMRC Plus

Windows Live (Mail, Messenger, Writer, Call, Galería Fotográfica)

Adobe Reader 9

BS Player 2.35 Free

Winamp 5.541

Gmail Notifier

Opera (No es mi navegador x defecto, jeje)

1/27/2009

Tipos de Clientes (¿a cuál conoce usted?

Una de las labores más entretenidas y desafiantes de un consultor es el trato directo o indirecto con los clientes. A medida que voy trabajando en más y más proyectos, conozco más y más de esta verdadera fauna de personajes que están a cargo de los sistemas de las empresas de nuestro entorno. Aquí una pequeña lista de los tipos de cliente con los que me ha tocado tratar. No voy a dar nombres ni empresas, sólo tipos. Si ustedes han tratado con alguno de estos personajes o con otros, bienvenidos sean los comentarios...
 
  • El cliente ideal. Es aquel cliente que tiene total disposición a aprender, apoyar y cooperar con el desarrollo exitoso de un proyecto. Si aparece algún problema, en vez de reclamar o poner trabas, busca soluciones y muchas veces las encuentra. Un cliente con el que da gusto trabajar.
  • El cliente piola. Se caracteriza por dejar que uno realice el trabajo y que confía plenamente en las capacidades del consultor que contrató. Le facilita todas las herramientas de trabajo, no se queja y cuando aparece un problema lo informa y observa o pregunta mientras uno resuelve. Muy parecido al cliente ideal, tiene interés en lo que se realiza y trata de aprender a la par del trabajo de uno.
  • El cliente "me lo sé todo". Este suele ser desagradable. Un tipo que cree sabérselas todas, que cuando sucede un problema te contradice y empieza a meter las manos, cambia los diseños a destajo porque según el es lo mejor. Uno se pregunta para qué pidieron un consultor si saben tanto.
  • El cliente "lo quiero más barato". El típico cliente que está super entusiasmado con lo que se le ofrece pero busca y rebusca maneras para abaratar los costos, poniendo muchas veces en peligro la integridad y consistencia de las actividades. Es super frecuente!
  • El cliente "se me olvidó". Generalmente uno llega a trabajar, luego de haber mandado correos y correos con las necesidades técnicas para trabajar, te dicen que está todo ok y cuando llegas... sorpresa! Se les olvidó tener todo listo. Al final pierdes toda la mañana en algo que debían tener listo.
  • El cliente "yo no te pedí esto". Campeones para cambiar el alcance de los proyectos, siempre terminan solicitando otra cosa. Los típicos clientes que hay que visitarlos con grabadora en mano para protegerse.
  • El cliente "ayúdame con esto otro". Peligrosos al máximo. Uno va a revisar un antivirus y termina revisan el ISA, el Active Directory y quizá que cosa más... y si uno no los ayuda termina reclamando por mala disposición.
  • El cliente "al p2". No se caracteriza por su diligencia. No le preocupa ni parece interesarle el desarrollo del proyecto, hasta que queda algún problema y terminan echándole la culpa al proveedor.
  • El pesadilla. El cliente al cual uno no quiere enfrentarse nunca. Pone todas las trabas posibles al trabajo. No sabe nada y espera que uno haga absolutamente todo, hasta lo que el debe hacer. Más encima reclama por todo, exige todo para antes de ayer y más encima siempre tiene un comentario desagradable para decir.

Espero sus comentarios y aportes

12/2/2008

Virtual Stic

El Virtual Stic ( School technical Innovation Center ) ( http://www.vstic.com )es una comunidad de educadores de latino América, el cual consta en la publicación de metodologías educativas aplicadas a tecnologías en el aula de clases.

 

Como objetivo tiene el mejoramiento de la calidad educacional, disminuir la deserción escolar, formar a los futuros investigadores del futuro los cuales harán crecer sus respectivos países de Latinoamérica, con los conocimientos adquiridos previamente en sus escuelas y universidades.

 

Esta comunidad centralizará documentación la cual podrá ser descargada y utilizada por los educadores de toda América latina, pudiendo entregar la retroalimentación necesaria de los resultados de tales estrategias educativas.

 

El Virtual Stic, está abierta a cualquier educador que desee mejorar u ampliar sus conocimientos metodológicos en educación escolar o superior universitaria.

Este consta de ranking de publicaciones, reuniones virtuales, correo interno, links relacionados, descarga de productos educativos.

  

Únase a nosotros hoy!

 

Contáctese con lsilva@live.cl

 

 

 


"Formando los investigadores y profesionales del futuro”

11/13/2008

Mi primera certificación

... Y seguimos con el saldo de deudas.

Bueno, otra asignatura pendiente que tenía hace mucho tiempo era el tema de las certificaciones. Por alguna razón, siempre le hice el quite a los exámenenes de certificación. ¿Por qué? Yo creo que principalmente un asunto de confianza, de tener miedo al fracaso. Pues bien, un día dije "basta" y recordando las sabias palabras de mi amigo y compañero MVP Gonzalo Balladares - "Certifica lo que ya sabes" - partí a New Horizons y sin programación previa rendí el examen 70-290: MCP Windows 2003.

Y bien, pasé el examen con 960 puntos Risa. Así que ahora tengo mi primer MCP.

 

Isa Server, el desafío

Mis primeros pasos con ISA Server

Las cosas de la vida. El MVP de Security es un arma de doble filo, toda vez que un "experto en seguridad" debería - debería - ser experto en todo lo que implique seguridad. O al menos, eso es lo que la gente cree.

Sin embargo, la seguridad es un tema absolutamente transversal, y difícilmente uno puede llegar a ser un "experto en seguridad". Hay que saber de seguridad física, de seguridad perimetral, de protección de datos, de hardening de sistemas operativos y de aplicaciones, y de seguridad en procedimientos y cultura organizacional. Generalmente, una persona ligada a la seguridad se especializa en uno o dos temas. En mi caso, el hardening y la cultura organizacional.

Además, la naturaleza de mi competencia no está asociada a producto alguno. Por eso, cuando hace pocos meses partí en este bonito desafío de ser "consultor en seguridad", muchos se asombraron al ver que no tenía experiencia práctica en productos de seguidad como ISA Server o ForeFront.

Pues bien, como no hay plazo que no se cumpla ni deuda que no se pague, he tenido que comenzar a trabajar con este tipo de productos. Aquí les comparto con ustedes uno de mis primeros "triunfos" con ISA Server, solucionando con Juanito Valenzuela (MVP de SharePoint) una problemática real de un cliente sobre ISA y un novedoso producto llamado Photosynth.

Acceso a Sitios Photosynth detrás de un ISA Server 2006 funcionando como Web Proxy
por Luis Montenegro - MVP Consumer Security y Juan Andrés Valenzuela - MVP SharePoint Server

(http://www.microsoft.com/latam/technet/mvps/notas/isa_server.aspx)

 
Problemática original

Un cliente de la empresa en la cual nos desempeñamos como consultores está en proceso de implementación de un portal corporativo desarrollado en SharePoint, que tiene dentro de sus funcionalidades el uso de Photosynth, una nueva tecnología de manejo de imágenes de Microsoft que pertenece a Microsoft Live Labs y que permite crear imágenes 3D a partir de un set de fotografías en 2 dimensiones.
Para incorporar Photosynth a Sharepoint, tan solo utiliza un editor web de contenido en la cual se incorpora un IFRAME, que llama al servicio.

El servicio phosynth trabaja con URLs del tipo ://photosynth.net, sin embargo el storage de datos de las fotos están bajo el dominio vo.linwd.net. Por ende, para poder visualizar las fotografías, el BROWSER IE7 busca las mismas en dicho sitio y no localmente. El cliente manifestó un error en el acceso al portal de SharePoint asociado precisamente a Photosynth. Los usuarios internos de la compañía que se conectaban a través del proxy corporativo (un ISA Server 2006) no podían visualizar correctamente el sitio, recibiendo un pop-up de error que indicaba que era imposible abrir el sitio en el cual se alojan las fotografías.

 

Problemática

Imagen 1. Problemática original.

Realizamos un troubleshooting básico, en conjunto con personal del cliente y determinamos que dicho error no se reproducía en usuarios externos o en aquellos que no utilizaban el proxy para conectarse. Esto llevó a la conclusión preliminar de que el origen del problema debería encontrarse en la configuración del proxy ISA Server de la compañía.
Esto nos llevó la conclusión que es la autentificación NTLM la que generaba conflicto con el storage de foto en vo.linwd.net.


El análisis

Como todo buen análisis de la situación, nuestras siguientes actividades fueron orientadas a encontrar la raíz del problema y aislar otros posibles focos del mismo, a fin de llegar a una solución definitiva para el cliente. El análisis consideró las siguientes actividades.


1. Revisión general de la configuración de ISA Server.
La compañía posee un arreglo de ISA Server 2006 Enterprise, con dos nodos. Este arreglo está configurado con 2 tarjetas de red, en una topología de Edge Firewall, en el cual existe un número limitado de reglas de acceso, principalmente relacionadas con el uso de protocolos (no existían reglas de publicación de sitios o servicios). La red interna representa a un conjunto de segmentos de red corporativos de la compañía, mientras que otras redes o reglas de red están configuradas por defecto. Este arreglo de ISA Server tiene como principal función el ser Web Proxy de la red interna corporativa.

La regla más importante de la compañía es de Acceso Web y FTP, la cual es una regla de acceso que permite conexiones de red interna a red interna y externa para los protocolos FTP, HTTP y HTTPS para los grupos de usuarios que la compañía tiene autorizados. Esta regla estaba en primer lugar de precedencia en el arreglo de ISA Server.


2. Configuración de Logging para determinar la naturaleza del error.
Como una manera de poder determinar que reglas estaban causando el problema y que tipo de error existía, se levantó una traza en ISA Server sobre un equipo cliente de prueba, para así después tratar de acceder al portal, recibir el error e investigar posteriormente la naturaleza del mismo.
Para ello, se realizaron los siguientes pasos:

  • En la consola de ISA Server, seleccionar Monitoring dentro del panel izquierdo.
  • Dentro del panel intermedio, seleccionar la viñeta Logging.
  • En el panel derecho, en la viñeta Tasks seleccionar Edit Filter.
  • En la ventana emergente, en el cuadro Filter by seleccionar Client IP.
  • En el cuadro Conditions seleccionar Equals to.
  • En el cuadro Value seleccionar la IP del equipo de pruebas.
  • Seleccionar Add to List.
  • Finalmente, seleccionar Start Query.
Para la realización de pruebas, se usaron 2 equipos cliente de la red corporativa, los cuales tenían distintos mensajes de error. Mientras a uno le aparecía el PopUp anteriormente nombrado, al otro equipo aparecía dentro del sitio un mensaje indicando que Photosynth no funcionaba correctamente.

La aplicación de monitoreo se hizo alternadamente en estos dos equipos, mientras se realizó una serie de pruebas iniciales de configuración de Internet Explorer a fin de comparar los resultados y acotar el problema.

Luego de analizar los resultados de la actividad de monitoreo, se descubrió que el error reportado por el Cliente está asociado a entradas en el ISA Server 2006 de acceso denegado, las cuales apuntan a la regla de acceso Web y FTP creada en el ISA Server y que están relacionadas con el error 12209: HTTP 407 Error de Autenticación de Proxy.


3. Pruebas realizadas en la configuración de Internet Explorer.

Juan, encargado de la implementación del portal de SharePoint manifestó que el sitio que hace de hosting de las fotos de Photosynth no cuenta con ningún tipo de autenticación, además de indicar que el equipo de producto de la herramienta (con el cual se pudo contactar) les dijo que Photosynth no funcionaba de manera estable detrás de un proxy con ISA Server 2006. Con estos antecedentes se reforzó la idea inicial del problema en las configuraciones de autenticación, por lo cual se procedió en primer lugar a realizar pruebas asociadas en Internet Explorer y luego en el ISA Server. A continuación se presenta a modo de información el resumen de pruebas realizadas en Internet Explorer.

Prueba Realizada Resultado
En Internet Explorer, Opciones, Conexiones, Configuración de la red de área local (LAN) seleccionar Detectar la conexión automáticamente No dio resultados
En Internet Explorer, Opciones, Conexiones, Configuración de la red de área local (LAN), anvazadas, agregar el sitio Web en cuestión a la lista de excepciones Se pueden visualizar las fotos. Sin embargo, no es una solución óptima pues habría que realizarla por equipo o bien usando políticas
Realizar navegación sin usar el proxy Se pueden ver las fotos, lo que comprueba que el problema radica en la configuración de ISA Server
En Opciones de Internet, Seguridad, seleccionar la zona a la cual pertenece el sitio Web que alojan las fotos. Seleccionar nivel personalizado y en autenticación del usuario seleccionar Inicio de sesión anónimo La página arrojó un error, sin cargar ni siquiera el portal corporativo
En Opciones de Internet, Seguridad, seleccionar la zona a la cual pertenece el sitio Web que alojan las fotos. Seleccionar nivel personalizado y en autenticación del usuario seleccionar Inicio de sesión automático con el nombre de usuario y contraseña actuales No dio resultado
En Opciones de Internet, Seguridad, seleccionar la zona a la cual pertenece el sitio Web que alojan las fotos. Seleccionar nivel personalizado y en autenticación del usuario seleccionar Inicio de sesión automático sólo en la zona de intranet No dio resultados
En Opciones de Internet, Seguridad, seleccionar la zona a la cual pertenece el sitio Web que alojan las fotos. Seleccionar nivel personalizado y en autenticación del usuario seleccionar Preguntar por el nombre de usuario y contraseñas No dio resultados

Solución

La hipótesis planteada del problema de autenticación con el sitio Web de Photosynth, la cual fue reforzada luego de la realización de las pruebas anteriormente detalladas, llevó a buscar una manera de alterar los métodos de autenticación utilizados en el WebProxy por los clientes de la compañía.

Solución Preliminar
Como las reglas de acceso creadas en el ISA Server no hacen referencia a métodos de autenticación, se decidió modificar las reglas de autenticación del WebProxy dentro de la red Interna. Esto se realizó de la siguiente manera:

  • En la consola de configuración de ISA Server 2006, en el panel izquierdo expandir Configurations y luego seleccionar Networks.
  • Dentro del panel central seleccionar la red Internal y en el panel de tareas (derecha) seleccionar Edit Selected Network.
  • En la ventana emergente seleccionar la pestaña Web Proxy. En esta pestaña seleccionar el botón Authentication.

AutenticaciónImagen 2. Autenticación a nivel de Web Proxy.

Por defecto, la autenticación utilizada es integrada, lo que implica la integración con las cuentas de dominio. Considerando esto, se probaron varias combinaciones algunas combinaciones de autenticaciones, hasta llegar a una solución parcial.

Esta solución se consiguió al Deshabilitar la autenticación integrada y Habilitar la autenticación básica. Al configurar la autenticación del Web Proxy de esta forma, la autenticación ya no queda asociada con la cuenta de dominio y se pueden visualizar las fotos de Photosynth (que no requiere el ingreso de dichas credenciales) sin problemas. Sin embargo, esta solución presenta 2 inconvenientes principales:

a) Implicancias de seguridad. La autenticación básica maneja la información de autenticación (nombre de cuenta y contraseña) en texto plano. Considerando que la autenticación se realiza entre los equipos locales de la compañía y el ISA Server, las contraseñas quedan expuestas dentro de la red interna, lo que podría implicar un ataque de monitoreo de tráfico (sniffing) interno.Configuración de Logging para determinar la naturaleza del error.

b) Productividad e impacto en el uso diario. La implementación de la solución implica la aparición de un prompt solicitando nombre de usuario y contraseña cada vez que uno abra Internet Explorer, lo cual si no se recuerda la contraseña termina transformándose en una molestia para los usuarios, lo que podría generar una alta demanda a las mesas de ayuda.

Debido a estos dos factores fundamentales, se decidió buscar una alternativa definitiva al problema, que no impacte en la navegación de los usuarios y entregue las funcionalidades necesarias.


Solución definitiva

La solución preliminar, más todas las actividades anteriores lograron comprobar empíricamente la hipótesis inicialmente planteada. Con todos estos antecedentes, la solución definitiva apuntaba derechamente a buscar un método de permitir el acceso anónimo solamente al sitio Web de Photosynth.


Luego de una exhaustiva investigación, se encontró en el sitio Web de Technet un método para permitir el acceso anónimo a un conjunto de sitios en específico. La solución planteada en el sitio indica que para los sitios a los cuales se debe permitir el acceso anónimo se deben crear reglas de acceso y especificar que la regla debe aplicar a Todos los usuarios.


El siguiente paso fue crear en ISA Server un Set de URLs que hiciera referencia a los sitios Web que alojan a Photosynth. Para realizar esta actividad los pasos fueron los siguientes:

  • En la consola de administración de ISA Server 2006, seleccionar en el panel izquierdo Firewall Policy.
  • En el panel de tareas (Panel Derecho) seleccionar la viñeta Toolbox.
  • En el panel de Toolbox, hacer clic derecho en URL Sets y seleccionar New URL Set.
  • En la ventana emergente, colocar el nombre del Set (Photosynth), la descripción y seleccionar el botón Add.
  • En la ventana emergente, escribir http://*.vo.linwd.net
  • Seleccionar OK.
  • Seleccionar Apply para aplicar los cambios en el Firewall.

URL SetImagen 3. Creación de URL Set.

Luego de crear el URL Set, el siguiente paso fue crear la regla de acceso a los sitios de Photosynth. Para lograr esto se realizaron los siguientes pasos:


  • En la consola de administración de ISA Server 2006, seleccionar en el panel izquierdo Firewall Policy.
  • En el panel de tareas (Panel Derecho) en Tasks seleccionar Create Access Rule.
  • En la primera pantalla del asistente de nuevas reglas, seleccionar un nombre descriptivo para la regla (como Regla de Acceso Photosynth) y hacer clic en Next.
  • En la siguiente pantalla hacer seleccionar Allow y hacer clic en Next.
  • En la pantalla de protocolos seleccionar Add
  • En la pantalla emergente (Add Protocols) seleccionar Common Protocols y dentro de esto seleccionar HTTP (Opcional HTTPS). Hacer clic en Add, luego en Close.
  • Al volver a la pantalla de protocolos hacer clic en Next.
  • En la pantalla de Access Rules Source hacer clic en Add.
  • En la pantalla emergente (Add Networks Entities) expandir Networks y dentro de esto seleccionar Internal. Hacer clic en Add, luego en Close.
  • Al volver a la pantalla de fuentes hacer clic en Next.
  • En la pantalla de Access Rules Destinations hacer clic en Add.
  • En la pantalla emergente (Add Networks Entities) expandir URL Sets y dentro de esto seleccionar Photosynth. Hacer clic en Add, luego en Close.
  • Al volver a la pantalla de fuentes hacer clic en Next.
  • En la pestaña de Usuarios, asegurarse que sólo esté seleccionado All Users y hacer clic en Next.
  • Hacer clic en Finish.


Una vez creada la regla de acceso, lo único que resta por hacer es asegurarse que la nueva regla creada esté ordenada por sobre la regla de acceso Web creada en el ISA Server. Luego de aplicar los cambios, se comprobó el acceso al sitio al sitio que originaba el problema y se pudo comprobar que el mismo funciona correctamente. Luego de validar la solución con personal de seguridad de la compañía, se dio por finalizada la actividad.

Solución FinalImagen 4. Problemática Resuelta.

10/23/2008

La segunda charla del ciclo y una extraña anécdota

Charla de Hardening de servicios 1: Una bonita experiencia, pero...

La segunda charla de este ciclo que se realizó hace vacias semanas (había olvidado colocar esta entrada en el blog!) marcó una de mis presentaciones más técnicas desde que soy conferencista de Microsoft. Presentamos, junto a Oscar Soto e Isabel de la Barra (que insistentemente me ha pedido las fotos del evento! Ruborizado) el tema de hardening de servicios en Windows 2008, donde se tocaron temas como DCHP, DNS, File Server y otros, siempre sobre 2008.

En resumen, una presentación bastante sólida en un día que difícilmente olvidaré. Y no lo olvidaré por esas ironías de la vida de un hombre dedicado a la seguridad informática: Camino al terminal me pegaron un "lanzazo" y me robaron el celular. Una experiencia que resalta lo importante de adoptar las buenas prácticas en nuestra vida diaria.

Les dejo las fotos (Si, Isa, las fotos!) del evento.

STA72360STA72361STA72362STA72363STA72364STA72365STA72366STA72367STA72368STA72369STA72370STA72371STA72372STA72373

9/10/2008

El ciclo de hardening partió con el pié derecho

De vuelta a las pistas, segunda parte

6 Meses después de la última conferencia presencial (han habido algunos Webcast de por medio) me tocó volver a las tablas, lo cual ciertamente me agrada mucho.

Y es que ayer presenté con mi colega y amigo personal Oscar Soto (MVP en Directory Services) la primera conferencia del ciclo de 8 charlas de Hardening que organizó nuestro también amigo y colega MVP Gonzalo Balladares (MVP en Exchange).

En cerca de 3 horas, repasamos temas como conceptos clave de hardening, la aplicación de Guías de seguridad, Windows 2008 más seguro por defecto, mejoras en políticas, server core, server manager y buenas prácticas.

Cerca de 50 asistentes, entre los cuales destaco a los alumnos del DUOC que fueron por iniciativa del profesor Salinas y gente de A-Core (la empresa de nuestro amigo Pablo Hurtado) que participaron activamente de la presentación.

Les dejo las fotos del evento Sonrisa

STA72255STA72258STA72278STA72267STA72279STA72280

9/5/2008

De vuelta a la acción!

Hora de volver a la acción

No hay noticia más agradable para un MVP que el poder participar en alguna actividad tecnológica desde el punto de vista del orador. Y después de varios meses en donde mi actividad se ha centrado en redactar artículos y participar en uno que otro Webcast, este mes de septiembre se viene con 3 actividades programadas, todas de seguridad.

La primera de ellas tiene que ver con el ciclo de conferencias técnicas de misión crítica, en la cual participaré de las 2 primeras charlas!

 

image

Finalmente está lista la 2da parte del Ciclo de Misión Crítica: Alta Disponibilidad y Hardening que iniciamos en Chile durante el año pasado gracias a la colaboración de los grupos de usuarios más importantes de Chile: ITPro Chile , G.L.U.E., G.L.A.D., MOSSCA y SQLGurús, New Horizons y Technet Chile.

En esta ocasión veremos en profundidad el Hardening de Sistemas y Aplicaciones, finalizando con una interesante conferencia sobre respuesta a incidentes y marco regulatorio en Chile.

La primera conferencia se realizará el martes, 09 de septiembre de 2008 19:00 en Teatinos 550 y estará a cargo del recientemente creado Grupo Latinoamericano de Active Directory (GLAD):

GLAD Invita: Conceptos básicos de Seguridad y Hardening de SO

Les dejo el link de registro para que se inscriban desde ya:

http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032387805&Culture=es-CL

 

Para que puedan programar sus agendas, el calendario completo es:

  • 9 de septiembre
    GLAD Invita: Conceptos básicos de Seguridad y Hardening de SO
  • 23 de septiembre
    GLAD Invita: Hardening de Servicios 1: Infraestructura de Red (DHCP, DNS, File Server y Active Directory)
  • 7 de octubre
    GLUE Invita: Hardening de Servicios 2: Exchange Server
  • 21 de Octubre
    SQL Gurús Invita: Hardening de Servicios 3: SQL Server
  • 4 de noviembre
    MOSSCA InvitaHardening de Servicios 4: Servicios Web y Sharepoint
  • 18 de Noviembre
    ITPro Invita: Hardening de Servicios 5: Acceso a la Red: Acceso Externo (ISA Server y VPN) y acceso de Cuarentena
  • 9 de Diciembre
    GLUE Invita: Hardening de Entornos Virtualizados
  • 16 de Diciembre
    ITPro Invita: Don't Panic: Respuesta ante incidentes y marco regulatorio en Chile

Los links de registro a cada conferencia podrán encontrarlos en Technet Chile con 2 semanas de anticipación a cada conferencia

Nos vemos allá!

 
La segunda de ellas es un webcast con el que parte el ciclo de capacitaciones de Seguridad de Septiembre.
 
Están desde ya invitados a participar!

             
Microsoft Technet
16/09/08 Seguridad al extremo con Windows Server 2008 ONLINE
18/09/08 Manejo de datos sensitivos ONLINE
Hágalo Usted mismo: Auditorias de Seguridad.
17/09/08 Parte I
ONLINE
19/09/08 Parte II
ONLINE
24/09/08 Virtualización y seguridad: ¿Qué significa eso para mí? ONLINE
25/09/08 Windows Server 2008 Hyper-V: Mejores prácticas y Seguridad ONLINE
30/08/08 Boletín Mensual de Seguridad ONLINE
24/09/08 Microsoft Product Licensing Advisor ONLINE
Todos los cursos son gratuitos. Recuerda concurrir a las Conferencias Presenciales con algún documento que acredite tu identidad.
Microsoft TechNet. Estamos para ayudarte.
        
8/13/2008

MSAT: El camino de ladrillos amarillos hacia la seguridad

MSAT: Microsoft Security Assesment Tool

Una de las necesidades crecientes en las organizaciones pequeñas y medianas que han comenzado a preocuparse seriamente de la seguridad en sus instalaciones, operaciones y personal es el conocer el real estado de seguridad que ellas poseen en la actualidad. En otras palabras, para las empresas que quieren crear un camino integral de evolución a la seguridad, es fundamental conocer cual es su punto de partida, de tal manera de tener claro cuales son los focos de atención en los cuales deben invertir sus recursos a corto y mediano plazo en cuanto a seguridad de la información.

Este concepto, llamado análisis de seguridad, se puede atacar desde varios enfoques o puntos de vista. Uno de ellos es hacer derechamente un test de penetración (Penetration Testing), el cual consiste en una serie de pruebas con distintos grados de intrusión, de tal manera de conocer los puntos débiles de seguridad desde el punto de vista del atacante. Esta vía de acción debe ser tomada con mucho cuidado, considerando que las pruebas a realizar deben ser acordadas de manera previa entre el encargado de realizar las pruebas y el responsable de la organización que será sometida a las mismas. Si estos acuerdos no son tomados y formalizados previamente, la organización podría verse sometida a una problemática de seguridad importante, o en el mejor de los casos, levantar alertas y contramedidas que podrían afectar directa o indirectamente la producción.

Otra manera de enfocar el análisis de seguridad es abordar la visión del defensor, o del administrador de seguridad de la compañía. Bajo este prisma, el análisis de seguridad se transforma en un levantamiento de riesgos, que busca detectar todos aquellos puntos donde el almacenamiento, uso y manejo de la información se torna crítico y definir las medidas de seguridad que están asociadas a dichos puntos. Una vez que se realiza este levantamiento, se debe comparar con las buenas prácticas de seguridad, que pueden estar basadas en normativas de seguridad o en las recomendaciones que los proveedores tecnológicos sugieren para sus diferentes productos.

Esto genera algo que es conocido como "GAP Análisis" o "Análisis de brecha de seguridad", el cual le entrega a la organización el grado de diferencia existente entre las buenas prácticas o la norma tomada como base y lo que actualmente está implementado en la organización. Así, un GAP Análisis permite al encargado de seguridad de la organización identificar los focos más importantes de riesgo y así poder tomar decisiones sobre como disminuir de manera efectiva la brecha de seguridad detectada en el análisis de acuerdo a los recursos físicos, tecnológicos o humanos que el posea.

Existen varias metodologías para realizar estos análisis de seguridad. Dentro de las metodologías del tipo "Penetration Testing" destaca la metodología Open Source OSSTMM (http://www.osstmm.org) de ISECOM, la cual tiene reputación internacional y que está actualmente en proceso final de desarrollo de su versión 3.0 (de hecho ya está disponible la versión 3.0 Lite). Esta metodología, que de hecho está asociada a certificaciones internacionales, fue creación de Pete Herzog y propone una serie de test orientados a diversos ámbitos físicos, tecnológicos y humanos que permitan tener una visión global de la seguridad.  Otras metodologías podrían considerar la realización de GAP Análisis basado en la normativa ISO 27001 o ISO 27002 (de hecho, una breve búsqueda por Internet puede demostrar que empresas como Praxiom Research - htto://www.praxiom.com/iso-27001-gap.htm - tiene desarrollo en dicho tipo de herramientas).

Dentro de la búsqueda de una herramienta que me permitiera tener una guía clara para realizar análisis de seguridad (soy consultor en el área) encontré una herramienta gratuita de Microsoft, que luego de revisarla un par de horas a fondo se terminó transformando en el camino de ladrillos amarillos que me llevaría a la magia del análisis de seguridad. Esta herramienta se llama MSAT (Microsoft Security Assesment Tool) y permite realizar un análisis de seguridad basado en la metodología de caja blanca, es decir, conociendo la realidad de la organización a ser analizada y sacando conclusiones del estudio de dicha realidad.

MSAT es en sí un completo cuestionario, basado en las recomendaciones de normativas como la ISO 17799 (hoy ISO 27002) y NIST 800.x, el cual fue desarrollado por un conjunto de profesionales de la seguridad con amplia experiencia en el mercado y apoyado por partners de Microsoft y organizaciones como diversos CERT (Computer Emergency Response Team) existentes en el mundo. Este cuestionario está dividido en dos partes; la primera de ellas permite obtener el grado de riesgos a los cuales está expuesta la organización analizada (BRG) en base al tamaño, orientación y función de negocio que cumpla ésta dentro del mercado. La segunda parte busca obtener el índice de defensa en profundidad (DiDI) basado en la existencia de medidas de seguridad por parte de la organización en los más variados aspectos de seguridad, partiendo por el perímetro de red y llegando hasta las personas, pasando por conceptos clave como la política de seguridad, los sistemas de respaldo y de actualizaciones, el control de acceso físico y el manejo de contraseñas, entre otros.

Una vez que se resuelve completamente el cuestionario, MSAT genera un completo informe que contrasta los BRG con los DiDI en 4 áreas: Personal, Operaciones, Aplicaciones e Infraestructura, indicando además el grado de madurez de la seguridad por área. MSAT además ordena por nivel de prioridad todas las medidas de seguridad que la organización debería aplicar a corto y mediano plazo para disminuir la brecha de seguridad existente en la actualidad, además de un completo reporte en cada uno de los puntos analizados, indicando las buenas prácticas de seguridad y los próximos pasos a seguir, generando de esta manera un roadmap integral para la organización que permita evolucionar la seguridad de la información y así disminuir el riesgo actual.

La pregunta que cabe hacerse es... ¿Cómo complementar MSAT? El valor agregado que el consultor de seguridad debe tener en relación al uso de MSAT se basa en la manera de resolver este cuestionario. Lo ideal en este punto es que el consultor sea capaz de resolver las preguntas que plantea MSAT en base al conocimiento que el mismo adquiera en la etapa de levantamiento o recolección de datos de la organización. De esta manera, un buen análisis de MSAT no debería considerar ninguna respuesta como "No sé". Todas las preguntas deben ser respondidas con total certeza y basadas en la realidad de la organización. Es labor además de un buen consultor de seguridad complementar el resultado del análisis con su propia experiencia y poder aterrizar el reporte a la realidad de la organización analizada, a fin de poder resolver de manera real las problemáticas que salgan a la luz una vez realizado el análisis de seguridad.

Sin duda, MSAT es una gran guía para la realización de un análisis de seguridad. La manera integral en que esta herramienta abarca el estudio de la seguridad de una organización no deja prácticamente ningún punto al azar; bajo esta premisa, MSAT logra un enfoque holístico de la seguridad, lo cual es absolutamente valioso y requerido en la ejecución de este tipo de análisis. ¡Todo un acierto del gigante de la informática!

8/5/2008

Seguridad y Visión de Negocio: Amigos o enemigos?

La importancia de la visión y compromiso de la gerencia en la seguridad

Remando para el mismo lado

El trabajo de un hombre de seguridad es a ratos ingrata. Y es por sobre todo ingrata cuando uno trata de implementar soluciones integrales de seguridad, que abarquen transversalmente a toda una organización.

La seguridad por lo general está asociada a restricciones, limitaciones y pérdida de funcionalidades en el diario vivir. Y por lo mismo, suele ser tremendamente impopular. No es raro que cuando se implementan medidas de seguridad, aumenten las llamadas a soporte de los usuarios que se sienten frustrados por que aquel sitio que siempre visitaban ahora está "bloqueado por el administrador", o porque no pueden instalar la última versión de su aplicación favorita.

Es por esto mismo, que una de las claves más importantes en el éxito de la implementación de medidas de seguridad a nivel corporativo es el compromiso de la dirección de la organización. Y cuando se habla de compromiso, no se habla de que firmen a tiempo los tratados, sino de que la dirección entienda el significado de los cambios, las ventajas y las desventajas de los mismos, y que por sobretodo, entienda el valor real de la información como un activo cada vez más importante dentro de su negocio.

Cuando la alta dirección de la organización no valora la seguridad como debiera, ya sea porque no están al tanto de los crecientes riesgos a los cuales se somete la información, o porque derechamente prefieren sacrificar la seguridad en pos de la comodidad y funcionalidad de la organización, las medidas de seguridad está condenadas a transformarse en bonitas ideas que van a parar a un baúl sin fondo. Cuando esto pasa, la seguridad y la visión de negocio se transforman en enemigos a muerte, los cuales se ven el uno al otro como una amenaza latente. Y si la alta gerencia no se compromete con la seguridad, privilegiará siempre la funcionalidad. Así, deshabilitar los grabadores de CD - por dar un sencillo ejemplo - lo ven como un pecado que evitará que sus usuarios puedan usar sus equipos con normalidad, en vez de verlo como una excelente restricción que limita en gran medida las fugas de información en la organización. Y así, cada medida de seguridad la terminan viendo como una molestia, a tal punto que terminan desestimándola, flexibilizándola o - peor aún - haciéndola menos segura que lo que ya estaba en un comienzo.

El punto clave acá es: ¿Qué tan importante es la información para mi negocio? ¿Qué tanto estoy dispuesto a arriesgar o sacrificar en pos de la comodidad de mis usuarios? La comodidad de los mismos, ¿es incluso más importante que la información que manejo?, ¿La seguridad es un valor agregado a mi negocio? Si se responde que sí a más de una de estas preguntas, es clave ir más allá; capacitarse, aprender, y por sobre todo comprender la relevancia que puede llegar a tener el tener seguridad como una función del negocio. Y es aquí donde la difusión juega un papel clave.

Si la alta dirección o la gerencia organizacional tiene las cosas claras y un mensaje intransable en cuanto a la seguridad de su información, deberá jugar un rol activo en cada proyecto de seguridad existente. Y este rol activo se traduce en participar en el diseño de las soluciones, validando cada una de las propuestas de manera integral y realizar, en su debido momento, todas las observaciones que puedan traducirse en el perfeccionamiento de una solución. Si esto sucede, la aplicación de los proyectos de seguridad tiene una alta probabilidad de ser exitosa. Y esto se debe a que una gerencia comprometida con la seguridad entrega un mensaje claro a sus empleados, los cuales estarán plenamente concientes de que las restricciones que se aplican van en pos de un bien superior a su comodidad y confort.

Si esto no sucede, el fracaso es el destino irrefutable de este tipo de proyectos. Y al final, las soluciones quedan en sueños ideales, destruidos por la poca conciencia de los que están a cargo. Y los encargados de seguridad ven una vez más frustrados sus anhelos de una organización más segura.

4/15/2008

Algunos links de interés sobre Windows Active Directory: Basics

Instalación de un Controlador de Dominio - Grupos predeterminados

Bueno, continuando con los links útiles - que no colocaba hace semanas, aquí hay un par de sitios de bastante utilidad para comprender los primeros fundamentos de Active Directory que estamos estudiando.

http://technet2.microsoft.com/windowsserver/en/library/6bdadfc1-4a8e-4b55-8844-7f784d7ff20b1033.mspx?mfr=true

Este link muestra el proceso de instalación y configuración inicial de un controlador de dominio.

http://technet2.microsoft.com/windowsserver/en/library/1631acad-ef34-4f77-9c2e-94a62f8846cf1033.mspx?mfr=true

Este es sobre los grupos predeterminados que existen en Windows 2003.

Más adelante, más links. Saludos desde Seattle, WA

4/6/2008

A lo que hemos llegado, Dios Mío!

Para que vean que no sólo de charlas vive un MVP.
 
 

 

Los dejo desde ya invitados al gran Lanzamiento de Microsoft este 2008!

ZaSaludos

4/5/2008

Novedades Varias

Nuevos MVPs para Chile & MVP Summit

¿Quién lo diría? Hace semanas que no había posteado por acá y ha sido sencillamente por falta de tiempo. Y es que el nuevo trabajo en el cual me desempeño ha sido absorbente y motivante a un 100% (en otro post les cuento más). Y hoy, que tengo un ratito libre, no puedo dejar pasar la oportunidad para contarles algunas novedades a nivel de Chile que hemos tenido en el programa MVP.

Nuevos MVP Chilenos. Llegó Abril y novedades mil en el programa MVP para los Chilenos. Parece que renovar ya no será tan sencillo; debemos preocuparnos más de actualizar nuestros aportes y buscar vías alternativas para validar nuestro trabajo. Y así como tenemos menos charlas y eventos disponibles este año, tenemos que refugiarnos en nuestro blog, nuestros artículos y el aporte online que podamos hacer para renovar. El cuento es que llegó Abril y hemos perdido 2 MVP para ganar otros dos; en pocas palabras, ha habido un cambio en el equipo.

De los nuevos MVP, les puedo contar que tenemos a un desarrollador: Juan Pablo Schmiede (C#) y a Gonzalo Balladares (Exchange). Y como conozco "de potrillo" a Gonzalo no puedo hacer más que felicitarle públicamente. Muchas ganas, gran empuje, una disposición a toda prueba y un excelente nivel de conocimientos técnicos (destacando que es el primer chileno en sacar el MCTIP en Windows 2008). Su destacadísima participación en el Glue y el excelente ciclo de Charlas que organizó y coordinó lo hacen largamente merecedor del reconocimiento. ¡Felicitaciones, Gonzalo!

Con esto, la lista de MVP's Chilenos es la siguiente:

Claudio San Martín (XBOX, renueva en Octubre)

Oscar Soto (Active Directory Services, renueva en Octubre)

Emerson González (Forefront/ISA, renueva en Octubre)

Luis Montenegro (Security, renueva en Octubre)

Jorge Díaz (Exchange, renueva en Enero)

Gonzalo Balladares (Exchange, renueva en Abril)

Gonzalo Pérez (ASP.NET, renueva en Abril)

Juan Pablo García (Arquitectura de Sistemas, renueva en ?)

Luis Hereira (Arquitectura de Sistemas, renueva en Abril)

Luis Silva (VB, renueva en Abril)

Juan Pablo Schmiede (C#, renueva en Abril)

Leonardo Garcés (ASP.NET, renueva en Enero)

Se viene el MVP Summit. Y ya nos quedan 7 días para iniciar el gran viaje. El día 12 volamos a Seattle para participar entre el 14 y el 17 en el Summit MVP, una experiencia única y una gran oportunidad para compartir con los expertos en Microsoft y conocer colegas de todo el mundo. Hasta este momento, estamos viajando Oscar, Jorge, Juan Pablo G, Leo, Gonzalo B, y quien les habla. Dirige la delegación Christian Linacre. Luego del Summit, partimos con Jorge, Leo y JP a las Vegas. No es malo....

 

Saludos!

3/18/2008

La importancia de la virtualización

Aprender, explorar y comprender Windows Server gracias a Virtual Server 2005 R2 SP1 y VMRC Plus

Voy a aprovechar estos breves minutos antes de iniciar una nueva jornada laboral para contarles un poco sobre el concepto de virtualización y el uso de Virtual Server 2005 R2 con SP1.

Sin duda, la virtualización es un concepto en boga. Hoy en día, el transformar las máquinas físicas en máquinas virtuales, permitiendo tener varias dentro de un mismo servidor físico funcionando concurrentemente, es una opción cada vez más atractiva para las organizaciones; permite ahorrar costos de almacenamiento físico de las máquinas, mantenimiento, y por sobre todo, hardware. Además, con un servidor virtual crear máquinas virtuales es relativamente sencillo y duplicarlas, moverlas y restaurarlas en caso de problemas de seguridad es algo que tomará mucho menos tiempo que recuperar información desde un respaldo, lo cual mejora el uptime de las organizaciones.

Con Virtual Server 2005, se pueden crear todas las máquinas virtuales que queramos tener, en distintos sistemas operativos, tanto clientes como servidor. Podemos agregarle a nuestras máquinas la memoria, disco y tarjetas de red que encontremos necesarias, tomando siempre en cuenta que las limitantes son las mismas que la máquina host, es decir, la máquina donde se instala virtual server. En pocas palabras, si tenemos 2 GB de RAM en nuestro equipo "madre", difícilmente vamos a tener 10 máquinas virtuales con 1GB cada una funcionando Guiño.

La posibilidad de crear redes virtuales internas, o asociar las tarjetas de red a nuestras tarjetas de red físicas, de añadir discos duros cuando nos quedemos sin espacio "virtual" y muchas otras opciones hacen de Virtual Server 2005 una herramienta óptima para el proceso de aprendizaje, prueba y en muchos casos producción con Windows Server 2003/2008.

Durante este semestre, estaré dictando un curso de laboratorio de Sistemas Operativos, donde explicaré los conceptos básicos de administración de Windows Server y algo de Linux. Y para realizar todas las experiencias prácticas, trabajaremos con Virtual Server 2005 R2 y con VMRC (La virtual machine remote control) en su versión mejorada. En un próximo artículo desmenuzaré más sobre esta herramienta.

Más información pueden encontrar en:

http://www.microsoft.com/windowsserversystem/virtualserver/

http://download.microsoft.com/download/6/6/d/66d548a3-a02b-4f32-adb8-634a7ec7bbcc/MS_VS2005_BUILD_062007/index.html - Una excelente demo, en inglés con subtítulos, en Inglés... igual se hace más fácil de seguir.

http://technet.microsoft.com/es-cl/bb738033.aspx Descarga Microsoft Virtual Server 2005 R2 con SP1

http://www.microsoft.com/downloads/details.aspx?FamilyID=80ADC08C-BFC6-4C3A-B4F1-772F550AE791&displaylang=en Descarga de VMRC Plus

Es importante destacar que para instalar Virtual Server 2005 R2 SP1 es necesario instalar IIS (Ubicado dentro de Panel de Control, agregar o quitar programas, componentes de Windows, Servidor de Aplicaciones). Basta con una instalación mínima que incluya el servicio WWW para que funcione. Además, es importante destacar que Virtual Server funciona con privilegios administrativos, así que ojo con los usuarios de Windows Vista!

Hasta una próxima oportunidad.

3/17/2008

GPOAccelerator: Deploy efectivo y eficaz de security baselines a nivel organizacional

Dentro de las nuevas herramientas que Microsoft ha desarrollado bajo su línea Solutions Accelerators existe una que es capaz de crear, en pocos pasos, una línea de seguridad base para toda la plataforma de servidores de Windows, y no solo eso; también lo puede hacer para equipos cliente.

GPOAccelerator es el nombre de esta herramienta, que basa su trabajo en el desarrollo de políticas de grupo basándose en el uso de las últimas guías de seguridad que Microsoft ha sacado para sus sistemas operativos Windows 2008, Windows 2003, Windows Vista y finalmente Windows XP. Gracias a esta nueva herramienta, un administrador de sistema puede simplificar el trabajo que anteriormente tenía que realizar con el uso de plantillas de seguridad y se puede ahorrar todo el procedimiento de importar las plantillas, crear las políticas y nombrarlas... para cada uno de los roles de un servidor.

Además, GPOAccelerator tiene la capacidad de generar sus baselines de seguridad en base a la infraestructura de la organización, el nivel de seguridad al que se quiere llegar y el entorno en el cual se está haciendo el deploy. En pocas palabras, esta herramienta crea políticas distintas si existe una infraestrucura de dominio, si se está trabajando en un laboratorio o si se implementarán las políticas de modo local.

GPOAccelerator establece dos niveles de seguridad estándar. El primero de ellos, llamado Enterprise Client Enviroment (EC) es un nivel de seguridad clásico para empresas que tienen plataformas de trabajo basadas en dominios, con Controladores de dominio Windows 2008 y Servidores miembro Windows 2008/2003 SP2, más equipos cliente Vista/XP. En este caso, se aplican medidas de seguridad adecuadas para organizaciones que quieren tener un nivel de seguridad óptimo en cuanto a la relación seguridad/funcionalidad. En pocas palabras, aplica la seguridad más alta que se puede llegar a obtener sin afectar la funcionalidad de los sistemas. Es necesario recordar bajo este punto que a un mismo costo, un aumento en los niveles de seguridad por lo general (por no decir siempre) afecta el grado de funcionalidad que se puede obtener de los sistemas. Este concepto está íntimamente relacionado con el concepto de superficie de ataque: mientras más funcionales, mayor suele ser la superficie de ataque, y por ende, menor la seguridad.

El segundo nivel de seguridad es conocido como Specialized Security: Limited Functionality (SSLF), el cual como su nombre lo dice, es un nivel de seguridad de altísimo nivel, pero que a su vez tiene funcionalidad limitada. Este nivel de seguridad debe ser aplicado en sistemas basados en Servidores Windows 2008 y clientes Windows Vista/XP, y debe ser utilizado sólo en aquellos casos en que la necesidad de altos niveles de seguridad sea lo suficientemente grande como para estar dispuestos a sacrificar la funcionalidad de los sistemas. Por ejemplo, un SSLF restringe el acceso a Terminal Server, lo que en ambientes organizacionales suele ser algo que afecta sensiblemente a sus usuarios.

¿Y como funciona? Para instalar GPOAccelerator es necesario descargarlo - lógico - desde el sitio Web que está especificado en la guía de seguridad de Windows 2008. Una vez descargado, para su funcionamiento necesita residir en alguno de los sistemas operativos indicados anteriormente, y además necesita la instalación previa de la consola de administración de políticas de grupo (GPMC, la cual se puede descargar acá).

Una vez instalado, al ejecutarse se inicia un asistente de configuración, similar al que se ve a continuación.

Inicio del asistente

Luego de dar clic a siguiente, se debe seleccionar el entorno general de trabajo, vale decir, se debe especificar si se trabajará en un ambiente de dominio o si el deploy del baseline se realizará de forma local. Además, en este punto se da la opción de actualizar el editor de seguridad existente.

Selección de entorno inicial

Para hacer este pequeño tutorial, se trabajó en Windows 2008, en una infraestructura de dominio. Por lo tanto, se selecciona Domain y se da clic a siguiente. A continuación, se debe especificar que guía de seguridad se ocupará para aplicar el baseline de seguridad.

Selección de baseline

Luego de seleccionar Windows 2008 y dar clic en siguiente, se debe escoger cual será el nivel de seguridad a aplicar en el proceso de deploy. Aquí es importante resaltar nuevamente la importancia de adecuar el nivel de seguridad a aplicar al objetivo de negocio dentro de la organización, al grado de exposición de los activos de seguridad y a la citricidad de la información para tomar la decisión correcta.

Selección de nivel de seguridad

Luego de tomar la decisión adecuada y dar clic a siguiente, el asistente pide la última decisión por parte del usuario, y es decidir si la implementación del baseline de seguridad se está aplicando a un entorno de laboratorio o directamente en producción. Y aquí es importante recordar la importancia de la aplicación inicial de la solución en un entorno de laboratorio de forma inicial, antes de iniciar un proceso de implementación efectiva en producción.

Selección de ambiente de aplicación

Una vez que se da clic a siguiente, se procede a aplicar las configuraciones deseadas y a iniciar le proceso de creación de políticas. Esto puede tomar algunos minutos.

Listo para iniciar el asistente

Una de las cosas importantes a tomar siempre en cuenta en la aplicación de herramientas de deploy de baseline - o anteriormente, en el uso de plantillas - es que siempre es recomendado revisar las plantillas antes de aplicarlas. Si el estudio general de la plantilla de seguridad trae como consecuencia un resultado nefasto o la pérdida de funcionalidades necesarias para la organización, es mejor abstenerse de su uso.

Una pequeña advertencia

El proceso de creación de las políticas, en este ambiente de laboratorio, tomó aproximadamente 3 minutos.

Proceso de creación de políticas

10

Una vez terminado el proceso, el administrador puede abrir la consola de administración de políticas de grupo (GPMC) para vincular las políticas creadas por la herramienta.

Políticas de Grupo

Para utilizar de manera óptima GPOAccelerator, es importante tener una infraestructura de dominio óptima para su utilización. Se recomienda utilizar un baseline para los controladores de dominio, un baseline para los servidores miembros y baselines para las distintas funciones o roles del servidor.

Esquema de GPO sugerido

Eso sería todo por ahora. Prontamente, les mostraré un overview técnico de Microsoft ForeFront.

 
¡Gracias por tu visita!
Please wait...
Sorry, the comment you entered is too long. Please shorten it.
You didn't enter anything. Please try again.
Sorry, we can't add your comment right now. Please try again later.
To add a comment, you need permission from your parent. Ask for permission
Your parent has turned off comments.
Sorry, we can't delete your comment right now. Please try again later.
You've exceeded the maximum number of comments that can be left in one day. Please try again in 24 hours.
Your account has had the ability to leave comments disabled because our systems indicate that you may be spamming other users. If you believe that your account has been disabled in error please contact Windows Live support.
Complete the security check below to finish leaving your comment.
The characters you type in the security check must match the characters in the picture or audio.
rosY PARISwrote:
muy interesante,si,un saludito
Mar. 10
Photo 1 of 24
Capos de la informática