Bueno, como algunos sabrán hace unos días atrás sumé un año mas a mi humanidad y la mujer de mi vida me hizo un regalo que cualquier desearía, ella me regaló un iPod Touch 2da generación.

Gracias mi amor…

Pero para que la envidia se los coma vivos, aquí les dejo el unpacking, disculpen los fondos de las fotos, pero no aguante a preparar el set…

En su muy cuidado y rediseñado estuche de acrílico transparente.

Metiéndole mano al seguro adhesivo que trae en ambos extremos, tanto inferior como superior.

Retirando la tapa.

El juguetito a la vista.

Retirando la protección adhesiva que viene adherida a la pantalla, simulando el equipo encendido con sus iconos básicos.

Se puede apreciar que el equipo viene perfectamente calzado en una base de acrílico la cual tiene unas muescas en ambos extremos, que no permiten que este se desplace en ningún sentido evitando así daños en los largos viajes que deben realizar estos equipos para llegar a nuestras manos.

La pantalla touch en pleno y aun en su base.

En esta imagen se aprecia la base de la que les hablaba con anterioridad.

Power on

Nos pide que los conectemos a un iTunes para realizar el registro del equipo y activarlo.

RTFM

Bajo el equipo en esa diminuta caja viene la guía rápida, los fonos , el cable de datos y un accesorio de base que no sirve de nada si no tienes un dock.

Conectamos el cable de datos a nuestro pc via USB 2.0 y “boala”…

El equipo, en este caso con Windows Xp sp3 e iTunes 8.0 instalado, nos reconoce inmediatamente el dispositivo como un iPod, para luego iniciarse un asistente que nos permite asociar el iPod al equipo, registrarlo y bla bla….

Pero como lo llevamos en la sangre, no aguanto ni una semana el equipo en su condición original…

…fue desbloqueado, a pesar de no existir aun un kit para hacerlo de manera final, ya que el boot de estos equipos fue cambiado en la versión 2G.

Haber si en unos días mas subo el proceso para desbloquear iPod Touch 2G.

Para ayudarte en el día a día con esas tareas que implican muchas veces cancelar una impresión y después tratar de borrar esos trabajos, les dejo este pequeño truco.

Copiar el texto que a continuación les entrego y guardarlo como .bat (ojo que si no ven las extensiones de archivos deberán guardar el archivo de manera forzada, esto si la tarea para generar el archivo se realiza con el Block de Notas o Notepad).

net stop spooler
del <span>systemroot</span>\system32\spool\printers\*.shd
del <span>systemroot</span>\system32\spool\printers\*.spl
net start spooler

Una vez copiado el contenido lo guardan como Borra cola.bat en el escritorio o en una ruta en donde les quede a mano para esas emergencias que muchas veces llevan hasta el reinicio de un PC.

Lo que hace esta especie de script, es detener en primera instancia el servicio de impresión para luego borrar las colas de impresión y finalmente reiniciar el servicio de cola de impresión de Windows.

Siguiendo con el enfoque de las políticas de seguridad del post anterior, esta vez nos centraremos en las recomendaciones y las buenas practicas enfocadas hacia la seguridad Corporativa, siguiendo una serie de pautas dictadas por empresas las cuales ya han implementado estas políticas y obviamente, han obtenido muy buenos resultados.

En Chile y esta es mi apreciación personal, estamos muy lejos de establecer un record en seguridad o mas bien de mantener en un nivel óptimo las políticas que establecen las ISOs para tal efecto. El porque?, y ya me darán Uds. la razón, esta directamente relacionado con la capacidad de decisión y confianza de los departamento de TI de cada una de las empresas, dichas áreas son el corazón de la empresa de hoy, ellos son responsables de un 90% de la seguridad en un entorno corporativo, el otro 10% se lo dejamos al “guardia del edificio”. En todo caso, la toma de decisiones en cada uno de los departamentos de una entidad está directamente relacionado con la confianza y asesoría que presta el personal a cada uno de los encargados de las respectivas área.

La implementación de las políticas de seguridad en un entorno corporativo, requieren, que estas se escuden bajo ese viejo dicho, conocido también en nuestro país como “Ley pareja no es dura”, porque digo esto? Uds. mejor que nadie lo saben, nosotros como implementadores de TI nos encontramos a diario con situaciones en donde se solicitan configurar excepciones en Firewall, Proxy etc. que apuntan a personal de Gerencias y/o a personas las cuales no son consideradas especialistas en seguridad TI y que con estas configuraciones lo único que se logra es abrir uno y otro agujero de seguridad a nivel corporativo.

La seguridad de los datos y transacciones es de vital importancia en esta época de rápida expansión de las redes informáticas comerciales y oficiales, y de la nueva economía basada en Internet. Los retos que se derivan de la seguridad se han convertido en los más importantes en todas aquellas compañías que hacen uso de las tecnologías de la información.

El término seguridad informática es una generalización para un conjunto de tecnologías que ejecutan ciertas tareas relativas a la seguridad de los datos. El uso de estas tecnologías de forma eficiente para asegurar una red corporativa requiere que se integren dentro de un plan global de seguridad. El proceso de planificación para su implantación correcta supone:

• Adquirir una comprensión en detalle de los riesgos potenciales del entorno (por ejemplo, virus, hackers y desastres naturales).
• Realizar un análisis proactivo de las consecuencias y mediciones de los posibles agujeros de seguridad en relación con los riesgos.
• La creación de una estrategia de implantación cuidadosamente planificada para integrar las medidas de seguridad dentro de todos los aspectos de una red corporativa, en base a esa comprensión y análisis.

Buenas prácticas para la Seguridad Corporativa es una recopilación de documentos (Whitepapers) que se centran en diferentes aspectos de la seguridad en las redes corporativas. Estos documentos se clasifican en tres categorías generales que responden a los diferentes niveles de conocimiento necesario para crear e implantar un concepto de seguridad con éxito. La estructura también permite a los lectores aproximarse al problema de la seguridad a partir de sus áreas personales de experiencia e interés. Estos niveles y los enlaces a sus correspondientes documentos son:

Analistas y responsables de la seguridad (backgrounders): documentos que proporcionan una visión general de los aspectos relativos a la seguridad y métricas independientes de la tecnología.

• Amenazas a la seguridad (Security Threats)
• Estrategias de seguridad (Security Strategies)
• Planificación de la seguridad (Security Planning)

Implantadores y técnicos de campo: una serie que comienza con un documento que describe un ejemplo de arquitectura de seguridad, y continúa con documentos que abordan cada entidad de esa arquitectura por separado, analizando como se adaptan dentro de la arquitectura como un todo.

• Security Entities Building Block Architecture
• Security Considerations for End Systems
• Security Considerations for Administrative Authority

Buenas prácticas de seguridad: un conjunto final de documentos que analizan una serie de escenarios de la vida real y las soluciones implantadas.

• Data Security and Data Availability in the Administrative Authority
• Name Resolution for Administrative Authority
• IP Security for Local Communication Systems
• Data Security and Data Availability for End Systems
• Monitoring and Auditing for End Systems

Estos documentos deben aportar a los lectores una base sólida sobre la cual construir la estrategia de seguridad corporativa.

Acerca de la Arquitectura de Bloques de Entidades de Seguridad

Los documentos “Best Practices for Enterprise Security” están basados en una línea conceptual que considera la seguridad de los datos en términos de entidades de seguridad de una corporación. Para implantar un nivel de seguridad eficaz, este concepto primero considera la estructura de la red de forma global, y luego desagrega esa estructura en entidades menores, de manera que se puede determinar el nivel de exposición a riesgos individual y se pueden implantar medidas de seguridad para cada entidad. Estas entidades suponen la base de la Arquitectura de Bloques de Entidades de Seguridad.

Esta arquitectura modular divide la estructura de seguridad de una corporación en las siguientes entidades:

• Sistemas finales (ordenadores y dispositivos hardware con sistema operativo)
• Sistemas de comunicación local (funcionalidad de red)
• Autoridad administrativa (gestión centralizada de la seguridad)
• Redes privadas (redes compartidas entre empresas)
• Internet

El siguiente diagrama muestra la relación entre estas entidades.

Para más información acerca de la Arquitectura de Bloques de Entidades de Seguridad, por favor vea Security Entities Building Block Architecture, un documento de primera clase dentro de la serie de Buenas Prácticas para la Seguridad Corporativa.

Comprender la Defensa en profundidad

Por Kai Axford, CISSP, Estratega en Seguridad Senior de Microsoft Trustworthy Computing Group. Kai, veterano con una experiencia de nueve años en Microsoft, es responsable de analizar y recomendar soluciones de seguridad para empresas del sector público y privado. Sus reconocidas series de webcast de Defensa en profundidad (Defense in Depth) 2008 son uno de los webcasts con mayor calificación en Microsoft.

Lea otros artículos Punto de vista.

Comprender los negocios riesgosos.

Me he  topado con “expertos en seguridad”, que cobran más de lo que deberían, pasan horas detallando cuán compleja es la seguridad. No lo es. La seguridad puede resumirse en dos palabras simples: Gestión de riesgos. No se trata de la eliminación de riesgos, se trata de la mitigación de riesgos.

Antes de que saltemos con un montón de jerga de seguridad, deseo que piensen realmente acerca de este concepto. Si no comprenden el riesgo, no comprenderán lo que es la seguridad y si no comprenden lo que es la seguridad, entonces el concepto de Defensa de profundidad no tendrá sentido para ustedes. El riesgo es la idea global. Existen muchas metodologías para evaluar el riesgo. En materia de seguridad es demasiado pedir que se comprendan cosas como la valorización de activos, la expectativa de pérdida anual, el retorno de la inversión, etc. pero realmente debemos comprender los riesgos antes de avanzar.

Gráfico 1. Descripción del Modelo Defensa en profundidad de Microsoft

Capa 1: Políticas, Procedimientos y Conciencia (perro que ladra no muerde)

Mientras tenemos en cuenta el modelo del Gráfico 1, me gustaría que piensen acerca de la importancia de la Defensa en profundidad. Todos recordamos la maravillosa trilogía del Señor de los anillos, cuando los chicos malos atacaban el castillo. Los defensores pudieron utilizar un modelo de defensa en profundidad para mantener alejados a los atacantes. Los atacantes irrumpían a través de una pared y los defensores se aislaban detrás de otra. ¡Aquí pasa lo mismo! La primera y mejor inversión que pueden hacer es alrededor de la Capa 1: Políticas, Procedimientos y Conciencia. Hablo de establecer algunas políticas y prácticas escritas de seguridad, como una Política de uso aceptable de una compañía. Aun más importante, se trata en realidad de poner en práctica las políticas que desarrollan. Los usuarios se dan cuenta rápidamente si en materia de políticas ustedes son perro que ladra no muerde. Obtengan soporte ejecutivo para su política y esto les ayudará con cualquier problema de cumplimiento. Si tienen políticas que no están siendo implementadas…deséchenlas. No valen ni el papel en el que están impresas.

Una de las mayores amortizaciones (también conocido como Retorno de la inversión para nuestros amigos de negocios) en el mundo de la seguridad informática es una fuerte campaña creativa de conciencia. Los usuarios olvidan pronto las lecciones aprendidas durante la “capacitación anual en seguridad”,” por lo que la campaña debe ser algo que realmente recuerden. Concursos, pruebas, premios, boletines de noticias, videos divertidos: estas son algunas de las cosas que pueden hacer si tienen un presupuesto ajustado. ¿Los contadores obsesivos los dejaron sin un centavo? ¿Han visto los materiales de Conciencia de la seguridad de Microsoft que pueden obtener en forma gratuita?

Capa 2: Seguridad física (Puertas, guardias y armas)

Seguridad física. Es una capa que nosotros, las personas de TI, solemos pasar por alto. Realmente no tenemos palabras cálidas de bienvenida para cosas como vigilancia por video IP y candados magnéticos y doble puerta de seguridad o “man traps” (es una palabra real…búsquenla en el diccionario). Sin embargo, esto no hace que esta capa sea menos importante. Todo aquello como PKI, IPSec, tecnologías de autenticación de factores múltiples no significan nada si yo puedo tomar su controlador de dominio y ponerlo en mi camión. ¿Cuántas veces han robado una computadora portátil en sus empresas? ¿Sabían que todos los años, en la convención del gran hacker en Las Vegas, DEFCON, el concurso de cerraduras de seguridad es uno de los más conocidos? ¿Por qué?

Como la seguridad física y la tecnología comienzan a estar más integradas, es importante comprender cómo trabaja cada una. Este debate de “convergencia” está muy de moda. Los muchachos de seguridad física ejecutan la vigilancia por video IP y estos bits ahora se atraviesan en la red. Lo mismo pasa con los registros de acceso a edificios que se almacenan en sus servidores. El concepto de seguridad física es uno que debemos concientizar más en nuestros roles. Pasen algún tiempo hablando con las personas que trabajan en esta área. Busquen una oficina local de American Society for Industrial Security (ASIS) y vayan a una reunión. En ningún otro lugar encontrarán más experiencia sobre este tema que en este lugar. Beneficio: Microsoft y ASIS firmaron recientemente un acuerdo de sociedad ya que sabemos lo importante que es para ustedes tener una buena comprensión de la seguridad física.

Capa 3: Seguridad del perímetro (vivir al límite)

No voy a entrar en la presentación de ventas de Microsoft acerca de la belleza de las tecnologías como Intelligent Application Gateway (IAG) 2007 e Internet Security and Acceleration Server 2006. Ya saben cómo funcionan y son críticas en la protección del perímetro. Quiero que piensen más allá por un momento y que consideren, ¿qué pasaría si simplemente nos sacamos de encima el perímetro completo? ¿Y si pudiéramos prescindir de cosas como VPN (que reduce la efectividad del firewall al abrir los puertos) y las conexiones RAS? Esta idea está recibiendo mucho interés, especialmente de los grupos como Jericho Project.

Observen con seriedad cómo Microsoft comienza a avanzar hacia esta nueva idea de Acceso a cualquier lugar. Con la adopción de nuevas tecnologías como IPv6, donde podemos tener una dirección de IP simple por cada dispositivo en el mundo, habrá un día en el cual sus políticas corporativas serán implementadas sin importar en dónde se encuentre esa computadora portátil corporativa, ya que siempre estará conectada al dominio, no sólo cuando el usuario remoto necesite acceder al servidor de archivos. ¿Un mundo en donde los administradores de TI pueden controlar todos los activos corporativos siempre y cuando estén encendidos y conectados a Internet? Es tan hermoso que se me asoma una lágrima.

Capa 4: Seguridad de la red (proteger su casa)

Fue un gran día en el mundo de la seguridad informática el día que alguien conectó dos computadoras mediante un cable. Por supuesto, aumentó la productividad pero también aumentaron los riesgos. Una forma de asegurar la red es restringiendo quién puede hablar con quién. Una de las mejores maneras de hacer esto es utilizar una tecnología que ya mencioné indirectamente antes: Seguridad IP, más conocida como IPSec. IPSec es simplemente un mecanismo que permite al sistema operativo una seguridad mediante un canal cifrado. Básicamente, IPSec tiene dos modos: Modo transporte, utilizado para conexiones de extremo a extremo y Modo túnel, utilizado para conexiones portal a portal. IPSec está incorporado a IPv6 y es opcional para IPv4. Al utilizar IPSec, podemos garantizar que sólo computadoras específicas, que utilicen la misma clave de cifrado, puedan conectarse entre sí. También podemos garantizar que las computadoras que no tengan estas claves no puedan conectarse a equipos que cuenten con ellas. Esto nos permite aislar computadoras de miembros de dominio confiable de aquellos dispositivos no confiables a nivel de red. También permite a los miembros de dominio confiable restringir el acceso de entrada a la red para un grupo específico de computadoras de miembro de dominio. Lo bueno de esto es que ya está disponible. ¿Lo están utilizando? ¿Por qué no?

Capa 5: Seguridad del host (Salven a la caja, salven a la red)

Estarían locos si no protegen los servidores que ejecutan las aplicaciones comerciales críticas. No voy a dar un sermón aquí. Sin embargo, permítanme contarles acerca de una cosita que me preocupa de esta área. Es el concepto de seguridad virtualizada. Existe mucha presión hoy en día en cuanto al despliegue de algunas soluciones de virtualización en un esfuerzo por consolidar los servidores. Una idea genial. No podemos pasar por alto la importancia y necesidad de asegurar los equipos virtuales (Virtual machines, VM) y los equipos host en los que se alojan. He oído una gran cantidad de conjeturas incorrectas como “Si el host es seguro, VM es seguro” y otros cuentos de hadas similares. Con relación a la seguridad, deben tratar a estos equipos virtuales como servidores físicos, lo que significa ejecutar un antivirus dentro de VM. Esto significa utilizar ACL para restringir los movimientos de quienes pueden modificar los archivos de configuración. Esto significa estar concientes del panorama amenazante con respecto a la virtualización.

Capa 6: Seguridad de las aplicaciones (Si se construye…sólidamente, no vendrán)

En caso de que no se hayan enterado, cada vez es más difícil que los ataques sean exitosos frente a los sistemas operativos y software de uso comercial. La cuestión es que las metodologías para desarrollar códigos seguros, como nuestro Ciclo de vida de desarrollo de seguridad (SDLC) valen la pena y cada vez más vendedores están comenzando a implementar está técnica u otras similares. ¿Qué harán los atacantes? Simple. Comienzan a apuntar a las aplicaciones internas personalizadas que fueron desarrolladas por su Equipo de desarrolladores con una seguridad como ocurrencia tardía, o peor, con una función de “nombre de usuario y contraseña” antes de la implementación de la nueva aplicación en toda la compañía.

Si su equipo de desarrolladores no implementa alguna clase de metodología de código seguro dentro de su empresa, no es cuestión de tener brechas, sino una cuestión de tiempo.

Capa 7: Seguridad de los datos (si su Terabyte cae en el medio de la jungla del Directorio activo…)

Estamos llegando al final de un viaje asombroso, pero este último paso probablemente sea el más crítico. Nuestra misión clave es la Protección de los datos. Entonces, ¿qué medidas están tomando para asegurar los datos? Una de las cosas más fáciles que pueden hacer es implementar algún tipo de estrategia de cifrado para sus datos. El uso de tecnologías como BitLocker para los controladores de dominios y viajeros es tan obvio que hasta dudo en mencionarlo…hasta que leí acerca de otra compañía más que sufrió una brecha de seguridad…y que no había cifrado. ¿Sabían que algunas leyes estatales acerca de las brechas de seguridad realmente limitan la exposición de sus compañías si cifraron los datos en forma adecuada? Díganle esto al CEO y apuesto a que tiene algún tipo de pasión por el cifrado. El cifrado es simplemente demasiado fácil de implementar como para ignorarlo, dadas las diversas amenazas y ataques que existen; tiene sentido.

Conclusión

Defensa en profundidad es un modelo crucial para implementar seguridad de la información efectiva. He intentado resumir algunos de los aspectos importantes del modelo Defensa en profundidad en este breve espacio. Como son los detalles de este modelo tan diverso los que lo hacen exitoso, he recopilado una serie de ocho webcasts acerca de este tema. Les recomendaría que los vean ya que profundizan mucho más en cada aspecto de este concepto, de una manera que creemos amena. Espero que lo disfruten tanto como lo disfrutamos nosotros al hacerlo.

Desde Windows 2000 se han introducido dos tipos de discos: básicos y dinámicos. El soporte en Windows 2000 y Server 2003 es igual mientras que en XP el soporte de discos dinámicos es limitado ya que solo soporta algunas configuraciones RAID. Si actualizamos desde NT 4 debemos ser cuidadosos si tenemos algún disco en RAID por software ya que en NT4 se hacia mediante discos básicos mientras que la implementación de 2000 y 2003 se hace mediante discos dinámicos por lo deberemos hacer una copia de seguridad y reconstruirlos una vez instalado el nuevo sistema operativo.

Los discos básicos (basic disks) es la concepción habitual que se tiene de un disco y el uso que se le da mas usualmente. Este tipo de disco sufre de las habituales restricciones como el limite de cuatro particiones debido a que el MBR (Master Boot Record) es de 64K y la descripción de cada partición ocupa 16K, también para realizar cambios a los volúmenes habitualmente será necesario reiniciar el equipo.

A diferencia de los básicos los discos dinámicos (dynamic disks) se usan solo en ciertas situaciones donde su funcionalidad adicional es necesaria dado que si no es así se suele prescindir de ellos en favor de la simplicidad y facilidad de manejo de los discos básicos. Su principal diferencia estriba en que en lugar de escribir la información relativa al formato del disco en la MBR, se usa un fichero de base de datos con tamaño de 1mb ubicado al final del disco que se replica en todos los discos dinámicos del sistema y que contiene la información de todos los discos dinámicos con la ventaja de que no existe un punto único de fallo cono es la MBR en los discos básicos.

Si queremos poner en un equipo un disco/s dinámico/s que se encontraban en otro equipo (lo que se suele denominar foreign disk) lo que debemos hacer es importarlo, en esta situación el proceso que se produce es una fusión de la base de datos de nuestro equipo con la del otro equipo que se encuentra en el disco importado y que habitualmente no produce ningún problema y nos permite conservar la estructura del disco o discos que provienen de otro sistema. Por otro lado debemos tener en cuenta que para crear un volumen extendido (spanned), en RAID 0/1/5 por software o bien para tener mas de cuatro particiones siempre es necesario el uso de volúmenes dinámicos.

También hay que recordar que en un disco físico podemos tener varios volúmenes o particiones almacenando cualquier combinación de FAT 16/32 o NTFS bien sea un disco dinámico o básico, dado que el sistema de ficheros es independiente del tipo de almacenamiento, pero nunca se podrá tener un disco con ambos tipos de almacenamiento simultáneamente.

DVD AR

Aunque las funciones que implementa un servidor DNS son intrínsecamente benignas, la posibilidad de que sea comprometido representa un alto riesgo a la seguridad de red. Parte del proceso de diseño para una resolución de nombres completa es mantener su servicio DNS y la información que él contiene a salvo de intrusos y potenciales atacantes en la red.

Como partes estrategias resolución de nombres tienen que evaluar los riesgos que su servidor DNS está corriendo las posibles consecuencias de ellos en el caso de presentarse y tomar las acciones preventivas para proteger el funcionamiento del servidor sin comprometer la funcionalidad del mismo.

Algunos de los ataques más comunes que se presentan en un servicio de DNS son los siguientes:

•  

  Ataque de negación del servicio (DOS): este ataques se presenta cuando el servidor DNS se ve inundado con un número muy grande de requerimientos reconocidos que pueden eventualmente forzar al procesador a ser usado más allá de sus capacidades recordemos que un procesador Pentium dos de 700 MHz puede soportar hasta 10,000 consultas por segundo; de esta manera se podría evitar que el servidor de DNS siga prestando servicio de manera normal este tipo de ataque no requiere el una gran cantidad de conocimiento por parte del atacante este tipo es extremadamente efectivo, llegando en casos extremos a provocar el reinicio del servidor de red o deteniendo por completo la resolución de nombres, la imposibilidad de resolver nombres por medio del servidor de DNS puede evitar el acceso de los usuarios a cualquier recurso de Internet, tal como, correo electrónico o páginas de hipertexto, en el caso de los sistemas Windows 2000 y 2003 que funcionan con directorio activo evita la autenticación de los usuarios y por tanto no permite el acceso a cualquier recurso de red.

•  

  Footprinting: los intrusos pueden lograr una gran cantidad de información acerca de la infraestructura de la red interceptando los paquetes de DNS para de esta manera lograr identificar sus objetivos, capturando el tráfico de DNS los intrusos pueden aprender acerca de el sistema de nombres del dominio, los nombres de las máquinas, y el esquema de IP que se emplea en una red. Esta información de red revela la funcionalidad de ciertas máquinas presentes en la misma permitiendo al intruso decidir cuáles son los objetivos más fructíferos y otra forma de atacarlos.

•  

  IPSoopfing: los intrusos pueden utilizar una IP legítima a menudo obtenida por medio del ataque anterior para ganar acceso a la red a sus servicios para enviar paquetes que pueden provocar daños dentro de la red a nombre de una máquina que no hace parte de la red, engañando al sistema identificándose con una IP de que no les corresponde a este proceso se le llama Spoofing. Esta manera pueden pasar diferentes filtros están diseñados para bloquear el tráfico de IP desautorizadas dentro de la red. Una vez han logrado acceso a los computadores y servicios usando esta técnica el atacante puede causar gran cantidad de daños pues dentro de la red se supone que las IP les pertenecen al segmento local.

•  

  Redireccionamiento en este tipo de ataque de un intruso causa que el servidor de DNS redireccione todas las consultas de resolución de nombres aún servidor incorrecto que esta bajo el control del atacante el atacante de lograr esta técnica mediante la corrupción o envenenamiento del caché del servidor utilizando actualizaciones dinámicas.

Para evitar los ataques anteriores existen numerosas técnicas que para proteger servidor DNS y su espacio de nombres y lograr que su servicio se mantenga todo el tiempo funcionando de manera consistente. Con este como en la mayoría de los problemas de seguridad, es un problema cultural, un ejemplo de esto es la regulación y medidas para asegurar el servidor DNS y no dejarlo abierto cualquier tipo de acceso desde Internet e incluso permitiendo la transferencia de zonas actualizaciones dinámicas con cualquier otro computador esto deja servidor vulnerable a cualquier tipo de ataque descrito anteriormente.

Por otra parte se puede cerrar todo el tráfico de su red al mundo exterior denegando todo acceso Internet y creando únicamente un punto de acceso al sistema para el servidor , en el caso de red Windows 2000 o 2003, con el directorio activo limitando el acceso administrativo a los servidores de DNS evitando todas las comunicaciones de DNS. Estas medidas aseguran el servidor DNS para tomar la mayoría de los tráficos pero pueden comprometer la funcionalidad del mismo en la red impidiendo al usuario para el acceso de Internet o de resolver nombres que no pertenezcan al directorio activo o redes externas. Existen oportunidades en las que este tipo de medidas radicales pueden llegar a ser una garantía pero usted debe balancear los requerimientos de seguridad contra los requerimientos del funcionamiento de su red.

Algunas de las medidas que se puede implementar dentro de su red para asegurar en parte o totalmente el servidor de DNS son las siguientes:

•  

  Proveer servicio de DNS redundante: esto significa colocar más de un solo servidor de DNS para la resolución de nombres dentro de su red esto puede implicar una mayor cantidad de recursos inicialmente pero la larga es la solución más eficaz y más escalable que se puede representar lo que en el caso de un servidor DNS caer, el servidor redundante o secundario a permitir la resolución de nombres de manera automática sin necesidad intervención por parte del administrador.

•  

  Doble configuración del cliente: se recomiendan en cada uno de los clientes colocar dos direcciones para DNS una la del servidor de directorio activo, y la otra la de su proveedor de acceso Internet de esta manera está garantizando que su servicio de DNS va estar ciento por ciento activo, si no es de forma local de forma remota a través de el sistema de su proveedor de acceso a Internet.

•  

  Instalar un servidor en su red perimetral: o red externa de DNS y otro para la red interna: esta estrategia le permite controlar el acceso a los recursos de forma interna y el forma externa en la red perimetral comprendida entre los algunos también conocida como red desmilitarizada (DMZ), así se van a resolver todos los requerimientos externos en la zona externa es decir todos aquellos que sobrepasen el ámbito de su red local bien sea por parte clientes internos o de clientes externos a la misma, mientras que el sistema de resolución de nombres para su red de área local va estar siendo respaldado por un servidor interno que eleva permitir mantener actualizado y seguro el esquema direcciones IP’s sin tener consultas recursos externos.

•  

  Control de interfases: Otra forma de limitar el acceso a su servidor de DNS es limitando el acceso a consultas por medio de el control de las interfaces de red, es decir, permitiendo la resolución de DNS sólo por una de las interfaces de su servidor de ésta manera la interfase que de la red interna hacerla que a permitir la resolución de nombres de dicha red mientras que la interfase externa no a permitir resolución de nombres de tipo DNS.

•  

  Uso de directorio activo: Aunque es posible el footprint forma de la captura de tráfico de resolución, una un método mucho más eficiente para el atacante es interceptando el tráfico de replicación. Por medio de la captura de paquetes de tráfico de zonas, por ejemplo un intruso puede tener una a completa idea de unas zonas y todos sus dominios en un solo vistazo. La mejor forma de evitar el tráfico replicación de la zona es instalar todos sus servidores de DNS en un controlador dominio en familias Windows 2000 y 2003 y guardando toda información de sus zonas en el directorio activo. El directorio activo entonces se convierten responsable parada realizar todo el tráfico replicación en su zona. Pero el tráfico al directorio activo se realiza por medio autenticación y mutua que le permita de evitar la suplantación por parte de un intruso y adicionalmente todo el tráfico de directorio activo se envía encriptado lo que previene que cualquier persona pueda capturar paquetes leerlos o manipular los datos; finalmente el acceso al controlador dominio está restringido por las políticas que usted efectivamente ha implantado para proteger toda información dentro de su directorio.

•  

  Limitar trafico por IP : Una forma de proteger las transferencia de zonas es especificando la IP de los servidores de DNS que participan en la transferencia de zonas esta manera usted puede limitar a dichos servidores el acceso replicación y un intruso va tener una labor mucho más difícil para lograr el acceso replicación.

•  

  Encriptar el trafico DNS: Aunque la técnica que fue prevenir el acceso transferencia de zona efectivamente no protegen los paquetes que están viajando hacia los servidores un intruso con un capturador de paquetes de sistemas de Windows pueda capturar los datos de transferencia de zona leer los y posiblemente modificarlos con herramientas más avanzadas se puede configurar su servidor DNS para Encriptar todo el tráfico utilizando protocolo de IPSec o la implementación de VPN de su sistema operativo.

•  

  Proteger el cache: Una estrategia adicional para prevenir el mal funcionamiento en su servidor DNS consiste en prevenir la corrupción del caché ésta se presenta por la manipulación parte de los intrusos de dicha información para su beneficio propio; en Windows 2003 el servidor incluye la característica de prevenir la corrupción de cache se activa así:

  •  

    dentro del cuadro de propiedades del servidor DNS haga clic en avanzado

  luego seleccione asegurar caché contra corrupción es un cuadro de Checkbox
  

  Dentro de la opciones del servidor, esta característica puede prevenir que el servidor haga caché de recursos que no son relativos al información que ha recibido por mensajes de respuesta.

•  

  Autorizar las actualizaciones dinámicas de DHCP: Asegura las actualizaciones dinámicas es otra labor bastante importante dentro del sistema, esas actualizaciones se realiza a través del sistema DHCP, el cual entregará direcciones de configuración inicial a los clientes para prevenir las actualizaciones dinámicas no autorizadas se debe autorizar el servidor DHCP dentro del servidor de directorio activo esta labor es relativamente simple de realizar por medio de clic derecho sólo le el nombre del servidor en la consola del DHCP y seleccionar autorizar.

Espero que estas técnicas hayan sido de utilidad para proteger su servidor de DNS contra posibles ataques de intruso o persona no deseables en su red, recuerde que cualquier tipo de actualización o cambio que se haga dinámicamente es recomendaba que se asegurada y auténtica en todos los casos sin embargo no siempre es posibles dicha estrategia, por lo tanto sea lo más cauto con la configuración de su servidor DNS dentro de su red.

La configuración es un proceso relativamente simple pero no por ello de descuidarse.

Créditos Creangel

Como si ya no fuese suficiente el escándalo, como si ya no fuese insólito que el ministro Ferreiro diga que la relación entre el MDLT y nuestro Gobierno “no compromete al Estado de Chile” y que “no supone alterar la política de neutralidad tecnológica”, aquí tenemos más leña para el fuego.

Otro acuerdo más entre Chile y Microsoft, descubierto y publicado por Rodrigo Hollmann hace unos días en su blog.

Citamos:

“Sucede que el 27 de diciembre de 2006 se firmó por trato directo, es decir, sin concursos ni sorteos, un convenio entre el Servicio de Impuestos Internos y Microsoft por un valor de USD casi 3 millones de dólares en 3 años. En el contrato se consideró a Microsoft como único proveedor de los servicios y productos solicitados. Lo grave es que prácticamente todo lo requerido existe bajo código abierto, software libre u otras plataformas. Para ponerlo más en fácil, fue una licitación dirigida o “cocinada”. Esto pone en evidencia la voluntad del gobierno por abrazar una tecnología en particular y dejar de lado la imparcialidad tecnológica.”

El contrato fue aprobado por Contraloría el 13 de enero de 2007, y pueden ver la Orden de Compra oficial (#1605-498-D106) en el sitio de ChileCompras. Hay un par de cosas de la redacción del texto que llaman la atención, como por ejemplo:

“Que la Subdirección de Informática, con la finalidad de mejorar la productividad de los sistemas del Servicio de Impuestos Internos requiere actualizar y estandarizar las licencias de los productos Microsoft actualmente en uso”.

Ok… ¿desde cuando la renovación de licencias implica mejorar la productividad de los sistemas? Por favor.

 “Que, según estipula la Ley N°19.886 en el artículo 8 letra d), resulta factible en caso de existir un sólo proveedor, adquirir el producto y contratar el servicio mediante Trado Directo con ese único oferente. El proceso de compra o contratación de servicio identificado en el condierando 1° comple con esa característica, por lo que se ejecutará esa modalidad”.

¿Cómo? Bueno, hablando de esas licencias, claro el único proveedor es Microsoft. Pero basta ya de desconocer la existencia de alternativas!

Veamos los considerandos de esta curiosa resolución que justifican esta adquisición:

Para cerrar, al monto total de (tan sólo) US$2.575.089,51 dólares se le suman también US$ 285.975,00, destinados a cubrir el “asesoramiento tecnológico” que implica la implementación.

En fin. Les recomiendo que lean el post original de Rodrigo, donde hace hincapié en alguno de los puntos de este nuevo contrato. Creo que con esto queda más que claro que nuestro Gobierno, definitivamente, está a años luz de cualquier tipo de “Neutralidad Tecnológica”, y por más que intenten hacerlo, no lograrán convencernos de lo contrario. Los hechos hablan por sí solos… y las firmas aún más.

¿Con qué más nos toparemos a futuro?

Link: Destapando ollas: Nuevo acuerdo Microsoft -Gobierno de Chile (Blog de Rodrigo Hollmann)

—————-
Now playing: DJ Aligator Project – Lollipop
via FoxyTunes

Bienvenidos sean… a este mi nuevo rincón en donde podrán encontrar de todo un poco, pero tenganlo siempre presente… esto será verdad a no ser que se demuestre lo contrario.

Según leo en el Blog de Jorge Cortell, se está debatiendo la posibilidad de crear un nuevo estándar ISO en base a un supuesto estándar creado por y para Microsoft.

Si finalmente es aprobado se producirían situaciones, cómo llamarlas… “peculiares”, “disparatadas”. Bueno pueden verlo y decidir Uds. mismos aquí. Si están de acuerdo conmigo les invito a que firmen en contra de esta barbaridad por estos motivos:

<!– –>