Skip to main content

Seguridad física y lógica

NOTA

  • Se utilizarán Herramientas de seguridad de la guía CCN STIC 818

  • RDL 12/2018 sobre seguridad de las redes y los sistemas de información

  • Servicio compartido de Seguridad Gestionada o SOC (Centro de Operaciones de Ciberseguridad) de la AGE -> infraestructura común junto con:

    • Red Sara, PAE, Servicio de hora oficial y SOC AGE.

Seguridad lógica (aplicable al sistema)

  • Routers, limitación de dirección, puertos y servicios. Uso de la guía CCN STIC 820 Protección Contra la denegación de servicio (black holes) (vease ROCIO es una solución para la automatización de las tareas básicas realizadas por un auditor de seguridad sobre equipos de comunicaciones: enrutadores, conmutadores y cortafuegos. Así, ha sido desarrollada por el CCN-CERT para verificar el nivel de seguridad de dichos equipos.)

  • Switches con ACLs, autenticacion 802.1x, etc.

info

las ACLs normalmente va en un router se podrá decidir dónde puede llegar esa máquina a través de implementación de comandos, no hay nada centralizado se hace a nivel de dispositivo

  • Segregación de redes mediante VLANs (medida de seguridad ENS). IEEE 802.1q

  • Doble nivel de Firewall (NGFW) diferente fabricante/tecnología (art 8 ENS y art 22: Prevención ante otros sistemas de información interconectados) y guía CCN STIC 811 interconexión de redes (APP-5) y CCN STIC 408 Seguridad perimetral firewall.

El NGFW podrá contener lo siguiente:

  • IDS/IPS. Guia CCN STIC 432 (seguridad perimetral IDS).

  • Antivirus, antispam, antispyware.Guía CCN STIC 814 Seguridad en servicio de correo.

  • WAF (modsecurity o URLScan/lockdown) guía CCN STIC 812 Seguridad en entornos y aplicaciones web.

  • DLP (fuga de información) basado en IA y ML (machine Learning) (información al final).

  • Proxy, permite controlar el tráfico de entrada y salida a internet de los usuarios.

  • Terminador VPN, para conectar redes/usuarios remotos y/o teletrabajo mediante VPN SSL/TLS o bien IPSEC, como apoyo se usará la guía CCN STIC 836 Seguridad en VPN aunque realmente la configuración que nos propone en esta guía es de implementarlo en una DMZ aislada (se puede mencionar EMMA).

  • Antivirus, tanto en DMZ como en LAN interna (consola ePO McAfee), se puede seguir la guía CCN STIC 834 donde recomienda para nivel medio ENS un NGEPP (EPP+EDR), el antivirus se actualizará de forma periódica siguiendo el art 20 “Integridad y Actualización del sistema” en el ENS.

  • WSUS Windows Server Update Services y SCCM System Center Configuration Manager, integración de ambas herramientas que permiten tener el inventario y la gestión de las actualizaciones de los parches de seguridad y del software instalado.

  • Sistema de Alerta Temprana: Sondas SAT-INET y SAT-SARA del CCN, para la detección de amenazas y respuesta a incidentes de seguridad por el CCN-CERT (arts. 36 y 37 ENS) y apoyo guía CCN STIC 817 Gestión de Ciberincidentes con Lucía CCN STIC 845 Manual de Usuario de Lucía.

  • Sondas IDS/ IPS en cada una de las VLAN para detectar intrusiones (snort). Guía CCN STIC 432 (seguridad perimetral IDS). IPS sondas activas e IDS sondas pasivas

  • Copias de seguridad, establecer y realizar una política de copias de backup que puedan servir para recuperar la información. Art 25: Continuidad de la Actividad y la CCN STIC 822 Procedimiento de Seguridad, anexo III PROCEDIMIENTO DE GENERACIÓN DE COPIAS DE RESPALDO Y RECUPERACIÓN DE LA INFORMACIÓN (hacer mención al plan de Contingencias según la ISO 27031 para dar continuidad al negocio)

  • Monitorización de la red a través de agentes instalados en los elementos a gestionar a través del protocolo de aplicación SNMPv3, con herramientas como NAGIOS, CACTI, ZABBIX, etc. CCN-STIC-435 Monitorización de tráfico.

  • Monitorización/gestión de eventos e información de seguridad mediante herramientas SIEM (Qradar de IBM, por ejemplo), permiten la correlación de eventos de seguridad recogiendo logs en los diferentes dispositivos de la red, herramientas como Splunk u OSSIM, Open Source Security Information Management (que permite integrar el SIEM con NAGIOS), podemos usar MÓNICA que es un NGSIEM para ello.

  • Autentificación vía LDAP (protocolo) con AD u OpenLDAP donde se definen perfiles y roles según guía CCN STIC 801, controla el acceso a las diferentes VLAN.

  • Cifrado de datos, seudonimización y anonimización, si es oportuno. Mencion a algoritmos criptograficos acreditados por el CCN.

  • Seguridad en almacenamiento SAN: LUN Masking, Zoning y Port Binding.

  • Utilización de herramientas de seguridad del CCN CERT como son: LUCIA, MARTA, MARIA, ANA, INES (IoC Índice de Cumplimiento/ IoM Índice de Maduración), GLORIA, MONICA, EMMA, ROCIO, CLAUDIA, microCLAUDIA (aplicacion de vacunas), CARMEN, etc..

  • Servicio de seguridad gestionada (SOC AGE), que servirá como apoyo para la gestión del perímetro de seguridad de la organización. ¡¡¡OJO!!-> Para las EELL solo se puede utilizar el VSOC (virtual SOC).

  • Para los equipos se seguirá una política de bastionado. Ejemplo:

Se cubrirán los siguientes aspectos en el bastionado:

  • Protección de la BIOS con contraseña y una configuración específica que impida el arranque desde otro periférico que no sea su propio disco duro interno.

  • Se hará una instalación desde cero del sistema operativo procurando que se instale lo mínimo necesario. En particular:

    • No permitir al SSOO que recabe datos de nuestra máquina.
    • No permitir al SSOO que recabe la ubicación de la máquina.
    • No permitir que Cortana(caso Windows) sea nuestro asistente personal.
    • Permitir el mínimo nivel de uso de los sensores.

  • Se aplicará un bastionado del CCN de nivel ALTO para equipos Windows 10 no asignados a un dominio.

  • Se reducirá a solo dos usuarios con derechos de acceso: uno administrador del sistema y otro no privilegiado de trabajo.

Se eliminará todo el SW inútil o de propósito general que el sistema operativo crea por defecto.

  • Se activará el cortafuegos local del equipo bloqueado todo tipo de conexiones externas o internas.

  • Se desactivarán todas la interfaces del red

  • Se cifrará el disco duro para proteger la información interna.(bitlocker)

  • Balanceadores (IP pública), aislando a los servidores web (IP privada)

  • Consola NAC (Control Access Network) control de acceso a la red con políticas, incluyendo pre-admisión, chequeo de políticas de seguridad en el usuario final y controles post-admisión sobre los recursos a los que pueden acceder en la red los usuarios y dispositivos, y que pueden hacer en ella.

nota

la máquina enchufada a la red debe cumplir una serie de requisitos para que funcione. Existe un elemento centralizado que es la consola NAC donde se establecen esas políticas.

  • Correo electronico:

    • SBRS : sender base reputation Score
    • Filtro Anti Spam
    • Analisis con Antivirus : SOPHOS
    • Verificación SPF para saber si el remitente es correcto.
    • Como medida adicional para evitar la descarga de virus o codigo malicioso de los anexos se le adjunta una advertencia, indicando que cualquier correo externo con adjunto no debe hacer click sobre el.

Seguridad fisica

Siguiendo la norma ANSI/TIA 942 para la infraestructura de CPD:

  • Alumbrado y salida de emergencia.
  • No publicitar CPD
  • Alejado del tránsito público
  • Evitar última planta (por incendio) y primera (por inundación)
  • Control de acceso al CPD (autenticación).
  • Puertas ignífugas y de grandes dimensiones.
  • Grabacion de imagenes CCTV (aplicar LOPDGDD ley 3/2018, Artículo 22. Tratamientos con fines de videovigilancia).
  • Control de humedad y temperatura.
  • Detección y extinción de incendios (RD 513/2017 protección instalaciones frente fuego).
  • Alojamiento CPD (paredes ignífugas…) RF 120
  • Suelo técnico (soportar 1000 Kg/m2, antiestático y antideslizante)
  • Cableado de comunicaciones y de alimentación separados (evitar interferencias).
  • Pasillo frío/caliente
  • Falso techo (facilidad de instalar cableado y válvulas de agua).
  • Canalización y correcto etiquetado del cableado.
  • Alimentación eléctrica (sai, generador eléctrico)
  • Aire acondicionado redundado (con doble bomba).