Seguridad en servidores

La respuesta es sí, pero precisamente este servidor (Bastion host) solo tiene la funcionalidad de dar seguridad, por lo que si el ataque es satisfactorio, esta máquina caerá y con ella todas a las que da servicio. Hay que entender que estas soluciones son de “bajo coste” y que existen equipos empresariales destinados a este tipo de misión, dependiendo de qué información o servicio se esté ofreciendo debemos adecuar la defensa al riesgo que supone perder dicho control.

Si el tiempo nos lo permite se debería restaurar en un entorno controlado (sandbox) para auditar y eliminar las posibles vulnerabilidades por las que el servidor ha sido atacado, para ello podemos usar Nessus u Openvas para esta finalidad.

A día de hoy no conozco ningún sistema parecido en características y precio. Existen soluciones corporativas de empresas (Cisco, Symantec, etc.) pero son muy caras, dependiendo de la criticidad de los datos y su valor quizá sean opciones viables.

No, lamentablemente solo está para Linux, pero si tienes Windows puedes crear un bastion host basado en Linux (como se explica en la presentación, en la slide 9) para dar servicio a cualquier sistema operativo que esté detrás de él, como por ejemplo Windows.

ConfigServer está basado en IPtables, por lo que la configuración del tráfico por las interfaces de red puede ser la que nosotros queramos. También tengo que decir que no es una tarea trivial balancear y enrutar el tráfico con esta herramienta.

A nivel físico sí (si este se encuentra en un datacenter), en cambio, la seguridad ante las amenazas de Internet dependerá de la destreza del administrador a la hora de configurar las herramientas que garanticen la seguridad de servidor. La persona que adquiere un servidor dedicado es resposable de realizar sus propias tareas de mantenimiento para tener siempre la máquina actualizada y poder hacer frente a posibles amenazas.
Un símil sería una parcela para construir una casa: el proveedor de servidores, por ejemplo Nominalia, sería quien pone la parcela y el dueño del servidor, que es quien lo administra, sería el albañil o arquitecto: el cómo se hagan los cimientos y la construcción de la casa depende de este, no de quien pone el terreno.

La actualización de Linux se realiza mediante comandos (apt-get , yum, etc.) y se puede automatizar con paneles de gestión estilo webmin o programando scripts en el servidor. Lamentablemente, si queremos automatizar el sistema, deberemos hacerlo nosotros mismos.

Depende de lo que esté sirviendo ese servidor. Daré un ejemplo de cómo cuantificar esto:

a. Deberemos evaluar los siguientes parámetros de la máquina:

– Velocidad de escritura y lectura de discos
– Ancho de banda
– Capacidad de proceso

En función de estos parámetros, podremos saber el volumen de conexiones que puede soportar un servidor. Por ejemplo un servidor que tenga videos en streaming no consumirá lo mismo que un servidor que tenga una página estática.

Un pequeño test para evaluar el rendimiento del servidor web Apache, puede hacerse de la siguiente manera:

Ejecutar el siguente comando desde una máquina con sistema operativo Linux:

ab -n 1000 -c 5 http://www.paginaatestear.com

el N es la cantidad de conexiones
el C es la concurrencia de las conexiones (cuantas se hacen a la vez) 

Con esta herramienta podremos ver el tiempo de respuesta en función de las peticiones que nos llegan y tener una idea del rendimiento que tendrá la máquina.

El hecho de prefijar las IP’S autorizadas es una buena práctica de seguridad, además descartará la conexiones ilegitimas directamente. En el caso de que no estuvieran filtradas el daño sería mayor porque el servidor contestaría por lo que lo recomiendo encarecidamente.

En principio no si está bien hecha, por lo que antes de aventurarse en auditar el servidor sería recomendable hacerlo en un entorno de test como Virtualbox, por ejemplo.

Hola, son servicios muy buenos un balanceo de carga “en la nube” y son muy interesantes para asegurar la continuidad de servicio de un servidor. Creo que el coste de estas soluciones es muy elevado así que, como he comentado antes, todo depende del riesgo que se quiera asumir y el coste a desembolsar.

Existen muchas certificaciones de seguridad. Recomendaría primero unas bases en Linux/Windows y redes antes de aventurarse en el mundo de la seguridad, si tuviera que recomendar formación sería:

– LPIC-1,2 (Linux)
– MCTS Windows Server
– Comptia Network+ o CCNA de Cisco
– Certified Ethical Hacker de EC-Council

Con el material que se ofrece en estas certificaciones podemos llegar a un nivel profesional en lo que se refiere a la administración de servidores.

Una de las soluciones que existen por software en Linux es HAproxy, es un software complejo y requiere bastante conocimiento para instalarlo. En estos casos es mejor una solución por hardware si no queremos estar mucho tiempo configurando una herramienta así.

Para aplicar estas medidas en Windows (Windows server) se sigue más o menos el mismo patrón, se procedería de la siguiente manera:

Hardening del protocolo RDP (Remote Desktop Protocol):

a. Cambio del puerto estándar de conexión(http://support.microsoft.com/kb/306759):

a.1. Inicia el Editor del Registro(Regedit)

a.2. Busca la siguiente subclave del Registro y haz clic en ella:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber

a.3. En el menú Edición, haz clic en Modificar y, a continuación, en Decimal.

a.4. Escribe el nuevo número de puerto y, a continuación, haz clic en Aceptar.

a.5. Sal del Editor del Registro.

a.6. Reinicia el equipo.

b. Quitar privilegios al usuario administrador o cambiar este usuario.

c. Modificar las políticas de conexión de escritorio remoto

d. Usar IPSEC en el protocolo RDP(http://support.microsoft.com/kb/942957)