Vilecha-Hosting

Seguridad en accesos remotos

Los riesgos de implantar uno o más servidores de ts a través de internet son muchos más de los que se imaginan. Pero, ¿vamos a privarnos de utilizar estos servicios por la sospecha de que algún listillo con adsl, o algún maldenominado “hacker” intente conseguir root en nuestros sistemas?

En este pequeño escrito trataré de introduciros en la implantación de seguridad para un servidor de aplicaciones sobre acceso remoto.
Al estar centralizados todos los servicios y aplicaciones a través de nuestro servidor TS, nos ahorraremos todo tipo de trabajos como actualización de aplicaciones en los clientes, centralizaremos nuestras copias de seguridad y permitiremos a nuestros usuarios utilizar cualquier cliente de red, ya que una vez que se autentifica con sus credenciales en el sistema, se lanza la o las aplicaciones con sus permisos, y hasta le podemos ofrecer un escritorio personalizado con las políticas de grupo. Aunque en realidad, el acceder desde cualquier cliente de red, dependerá de la seguridad a implantar.

Clientes

LA PRIMERA CAPA
De más está decir que un usuario que logre conectarse a nuestro TS, y además con credenciales de administrador, quién sabe lo que podría pasar.
Para comenzar a barajar opciones de seguridad, debemos comenzar con un cortafuegos. El servidor de seguridad de la casa Microsoft, el ISA Server, viene provisto por un cortafuegos, un moderado sistema de detección de intrusos, un servidor de caché programable y amplias posibilidades de otorgar o denegar los accesos, tanto de entrada como de salida, de protocolos o paquetes IP. Utiliza autentifi cación integrada a AD, filtrado de acceso a determinadas direcciones IP (de entrada y salida) y, si es que lo requerimos, en franjas horarias predefinidas. Este servidor será nuestra primera capa de seguridad con la que se encontrará el atacante. Hay que recordar que debemos publicar nuestro TS en el servidor de seguridad y rutearlo a la dirección IP interna donde esté ubicado el o los equipos. Idéntica tarea se el ISA está conectado detrás de un router.

Nota: Las capas de seguridad que forman la estrategia de defensa en profundidad incluyen el despliegue de medidas de protección desde los enrutadores externos hasta la ubicación de los recursos, pasando por todos los puntos intermedios. Con el despliegue de varias capas de seguridad, ayuda a garantizar que, si se pone en peligro una capa, las otras ofrecerán la seguridad necesaria para proteger sus recursos.
¿APLICACIÓN O ESCRITORIO DEFINIDO?
Tendremos que decidir si le daremos al usuario un acceso completo al escritorio o solo a determinadas aplicaciones. Si la primera opción es la que vale, sería conveniente utilizar los beneficios de un GPO sobre Active Directory para restringir lo más posible los accesos al sistema. Se recomienda encarecidamente que el servidor de aplicaciones TS, no se encuentre sobre un controlador de dominio, debido a que en el peor de los casos que algún intruso pueda llegar a entrar, estaría directamente en el DC, y por lo tanto tendría acceso también a los demás DC de la empresa.
Lo mejor en caso de otorgar acceso al escritorio, es implantar una UO dentro del dominio, y aplicarle una política de grupo con sus restricciones. Para limitar el acceso a determinadas aplicaciones podremos utilizar el mismo GPO o ASPEC.exe, que es una utilidad del kit de recursos de Microsoft. Esta última aplicación nos sirve para permitir o denegar a los usuarios (no a los administradores) las aplicaciones que agreguemos a la lista.
CONFIGURACIONES Y PLANTILLAS

Es necesario utilizar configuraciones distintas para los servidores de aplicaciones, los servidores de archivos y los servidores Web para maximizar su seguridad. Debe tener en cuenta que cuantas más funciones desempeñe cada servidor individual, más vulnerable será a los ataques.
Si ubicamos el o los servidores TS a un nivel de UO dentro del dominio, aplicándoles las plantillas de seguridad básica directamente a la UO, y luego modificando determinados aspectos, según la función del servidor, obtendremos una organizada herencia de seguridad predeterminada para los equipos de esa UO. Puede elegir la plantilla a aplicar, entre la plantilla básica, la orientada a controlador de dominio y la segura.
Las plantillas se pueden aplicar a la directiva del dominio UO o equipo local, importar a un objeto de Directiva de grupo, utilizar para realizar un análisis de la seguridad o asignar automáticamente mediante la herramienta de línea de comandos Secedit.
Es posible aplicar una plantilla de seguridad directamente a la directiva del equipo local si el equipo no pertenece a un dominio.
Importante: Estas plantillas de seguridad están construidas asumiendo que se aplicarán a equipos con Windows 2000 que utilizan la configuración de seguridad predeterminada para Windows 2000. En otras palabras, estas plantillas modifican incrementalmente la configuración de seguridad predeterminada si están presentes en el equipo. No instalan la configuración de seguridad predeterminada para después hacer las modificaciones.
CARACTERÍSTICAS DE LOS SERVIDORES DE TS A TRAVÉS DE INTERNET

- Los Servicios de Terminal Server trabajan con el sofware de emulación de terminal enviando al servidor sólo pulsaciones de teclas y movimientos del mouse. El servidor de Servicios de Terminal Server lleva a cabo todas las manipulaciones de los datos localmente y retransmite su presentación en la pantalla. Este planteamiento permite un control remoto de los servidores y la administración centralizada de las aplicaciones, lo que reduce al mínimo el ancho de banda de red necesario entre el servidor y el cliente.

- Los usuarios pueden obtener acceso a los Servicios de Terminal Server en cualquier conexión TCP/IP,
incluidas las de Acceso remoto, Ethernet, Internet, inalámbricas, red de área extensa (WAN) y red
privada virtual (VPN)

- Permite el uso de aplicaciones de 32 bits basadas en Windows desde dispositivos que pueden o no
estar basados en Windows, como Windows para Trabajo en Grupo 3.11 o posterior; Terminales
basados en Windows (dispositivos Windows CE); Clientes basados en MS-DOS; Terminales UNÍS;
Macintosh; Clientes no basados en Windows que requieran el uso de un complemento a terceros.

- Requiere el mínimo de espacio de disco, memoria y configuración para los clientes de los Servicios de Terminal Server.

- Simplifica el soporte de los equipos remotos y los entornos de sucursal.

- Proporciona seguridad y administración centralizadas.

- No altera las aplicaciones ni la infraestructura de red existente.

- Inclusive, instalando el Client Access de IBM en nuestro TS, se puede obtener acceso a un AS/400, obteniendo un excelente acceso remoto a este servicio, sin necesidad de tener demasiado conocimiento en AS/400.

- Se puede configurar tanto para el modo administración remota o servidor de aplicaciones. E n el modo administración remota, como su nombre lo indica, lo podremos utilizar más que nada para la administración de servidores. Lo pueden utilizar los usuarios con permisos de administrador, y como no requiere licencia adicional, solo lo pueden utilizar dos usuarios en forma concurrente como máximo.

El modo servidor de aplicaciones está orientado a ser utilizado para la distribución de aplicaciones y servicios, y requiere de licencias terminal services para los clientes, excepto que su sistema operativo de escritorio sea Windows 2000 profesional o Windows XP profesional.

EL ENVOLTORIO

Otra opción que sumará puntos a lo que seguridad se refiere, es montar el acceso a través de una VPN. Esto nos permitirá trabajar sobre un túnel IP en forma encriptada. Podremos agregar a esta VPN la seguridad de trabajar con L2TP (Layer 2 tunneling protocol) y utilizar el filtrado de IPSec. Esta última opción es la recomendada.

La herramienta Microsoft® L2TP/IPSec VPN Client, que puede descargarse gratuitamente desde el Web (www.microsoft.com/spain/technet/recursos/articulos/welcome3/asp?opcion=3010025), es un producto que permite a los equipos que ejecutan Windows 98 (todas las versiones), Windows Millennium Edition y Windows NT® Workstation 4.0 utilizar las conexiones L2TP (Protocolo de túnel de capa 2) con el protocolo IPSec (Seguridad de protocolo de Internet)
¿CLIENTE CLÁSICO DE TS O TSAC?

Una vez que está configurado el servido, podremos acceder a él a través de tres métodos distintos. La forma clásica es con el cliente de TS. Otra opción es utilizar el TSAC que es el cliente avanzado de TS, el cual lo accedemos por web utilizando un control ActiveX. Y por último tenemos la forma de acceso por consola, que esta sería mas orientada a los administradores, a través de la consola MMC.
Cuando se instala el TS, en forma predeterminada atiende las peticiones del RDP (protocolo de escritorio remoto) en el puerto TCP 3389. No sería mala idea cambiar el puerto de escucha, al menos para desorientar a quien esté buscando este servicio específico en nuestra red. Para ello podemos cambiar una clave en el registro del servidor indicándole el nuevo puerto de escucha. También debemos cambiar los registros de los clientes para indicar el mismo puerto de escucha del servidor. El cliente que accede a través del TSAC, mejor dicho con el control ActiveX, no puede cambiar su puerto de escucha, al menos en Windows 2000. En XP.Net será otro capítulo.

Para cambiar el puerto predeterminado para todas las conexiones de TS:

Ejecutar Regedt32 y buscar el siguiente key:
HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminalServer
WinStationsRDP-Tcp
Buscar “PortNumber”, modificar (donde dice 3389) y establecer el nuevo valor.

Para cambiar el valor de una conexión específica:

Ejecutar Regedt32 y buscar lo siguiente:
HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal Server
WinStationsconnection
Buscar “PorNumber”, modificar (donde dice 3389) y establecer el nuevo valor

Para cambiar los parámetros del lado del cliente:

1º- Abrir el administrador de clientes de TS.
2º- Clic en menú Archivo, nueva conexión y crear una nueva conexión. Después de ejecutar el sistente, asegúrese que está disponible la nueva conexión.
3º- Seleccionar la nueva conexión, en el menú archivo, clic en exportar. Guardarlo como nombre.cns.
4º- Editar el archive nombre.cns utilizando Notepad y cambiando el valor “Server Port=3389” a Server Port=xxxx” donde xxxx el nuevo puerto especificado para TS.
5º- Ahora importar el archive para el administrador de cliente. Deberá sobrescribir el archive actual, siempre que el que esté, posea el mismo nombre. Deberá reiniciar el ordenador para que surjan efectos los cambios realizados.

MODIFICANDO PLANTILLAS

Uno de los principales cambios se debe realizar después de aplicar las plantillas de seguridad, dependiendo de qué plantilla se utilice, es asegurarse que las contraseñas cumplan los requerimientos de complejidad (directiva de seguridad). Habilitar el bloqueo de cuenta, activar y establecer a 30 minutos el bloqueo, y el mismo valor al establecer la cuenta.
Será fundamental contar con contraseñas de 8 caracteres de longitud, con los 96 caracteres posibles, puede tardarse 2.288 años en descifrarla (analizando 100.000 palabras por segundo). Esto se obtiene a partir de las 968 (7.213.895.789.838.340) claves posibles de generar con esos caracteres.

Partiendo de la premisa en que no se disponen de esa cantidad de años para analizarlas por fuerza bruta, se deberá comenzar a probar con las claves más posibles, comúnmente llamadas Claves Débiles.

Aplicando un aviso legal en el proceso de inicio de sesión, impedimos, o al menos entorpecemos, los ataques por diccionario o fuerza bruta. Otro punto a nuestro favor sería utilizar el carácter ALT + 255 en las contraseñas de administrador (no olvidar las cuentas de administrador locales), ya que de esta manera, al ser un carácter no imprimible, será más difícil ser capturado por sniffers, crackers o registros de pulsaciones.

Si para el servidor a utilizar, no vamos a compartir recursos como carpetas o impresoras, debemos deshabilitar el servicio compartir archivos e impresoras. Si también deshabilitamos NETBIOS sobre TCP/IP junto con la opción anterior, evitamos el acceso no autenticado por sesiones nulas y un posible listado de usuarios y recursos compartidos. De todas maneras, si se necesita el servicio NETBIOS sobre TCP/IP para clientes heredados, no lo podremos deshabilitar. Si necesita utilizar este servicio, asegúrese de fijar la opción Restricciones adicionales para conexiones anónimas en 2 (No obtener acceso sin permisos anónimos explícitos) en el GPO (Directivas de seguridad local o dominio, directivas locales, opciones de seguridad). También deberá deshabilitar los servicios de alerta y mensajería, para evitar filtrar información de cuentas de usuarios.

Para evitar que se produzcan hackeos de los hashes LM y NTLM, debemos habilitar la autenticación NTLM v2. Si fijamos en el GPO el nivel de autenticación de Lan Manager a 2 (Enviar sólo respuestas NTLM)
aseguraremos el proceso de autenticación desafío-respuesta.

Cambie el nombre de la cuenta Administrador , y cree un señuelo. Aplique la auditoria de inicio de sesión de cuentas y, por favor, revíselo periódicamente (Ver auditoria).

Una vez que se termine de realizar las modificaciones de seguridad, puede guardar su configuración en formato de plantilla ahorrarse algo de trabajo para su próximo servidor similar.

EL CORTAFUEGOS

El ISA Server se puede configurar para permitir accesos en franjas horarias predeterminadas y preconfiguradas, para usuarios o grupos de usuarios específicos. También podemos limitar accesos a servicios en base a la dirección IP del cliente remoto. Es sabido que las direcciones se pueden falsear, pero también es cierto que el atacante debería tener información suficiente como para intentar ingresar con alguna dirección IP del grupo que estaría habilitado para su acceso, además de la autenticación válida.

Podemos filtrar todos los paquetes IP menos los que busquen el puerto que hemos configurado para el TS. No debemos olvidar publicar el servidor TS en el ISA Server, y redireccionarlo a la ubicación interna del servidor.

Detrás del cortafuegos, si nuestra estructura lo permite, deberíamos implantar un IDS. El IDS está mas allá de este documento, aunque es otra capa muy interesante en lo que a seguridad se refiere.

Al implantar la seguridad de nuestros servicios, tendremos que ocuparnos de los virus que circulan en la red. En el pasado mes de diciembre, la empresa Symantec lanzó el Symantec Antivirus para ISA Server. Este antivirus promete analizar todo el tráfico que pasará por el ISA. (También la empresa Pandasoftware tiene disponible una versión Beta www.pandasoftware.es).

SERVICES PACKS Y CORRECCIONES

Será indispensable para el correcto y seguro funcionamiento de nuestro servidor, también de los clientes, estar al día con los últimos service packs y correcciones que nos provee Microsoft. La empresa de las ventanitas lanzó el SUS Software Update Services (www.microsoft.com/windows2000/windowsupdate/sus/default.asp) desarrollado para facilitar la tarea de los administradores al actualizar tanto los servidores como los clientes.

El SUS cuenta con una aplicación servidor, y otra cliente. Supervisa las actualizaciones actuales y las compara con las disponibles. Este sistema, a nivel de prestaciones sería el intermedio entre el Hfnetchk.exe y el SMS. La única pega que nos encontraremos con el SUS, es que está desarrollado para trabajar con Windows 2000 (service pack 2) en adelante.

Los atacantes se aprovechan de las vulnerabilidades de los sistemas para realizar sus ataques. Deberemos instalar todas las actualizaciones y correcciones para anular esas vulnerabilidades. Por más que tengamos nuestra primera capa de protección que será el firewall, en caso que logren saltar esa primera capa, no se deberá tener ninguna vulnerabilidad al alcance, al menos ninguna que tenga una corrección disponible.

AUDITORÍA

A veces, los ataques más sutiles son los más peligrosos, ya que pasan desapercibidos y es difícil determinar los cambios realizados.

Es imprescindible habilitar la auditoria, como mínimo de los procesos de inicio de sesión, tanto los correctos como los erróneos.

De nada servirá tener habilitada la auditoria si no se chequea periódicamente. Sobre todo, revisar si alguien ha intentado autenticarse con la cuenta señuelo de administrador que hemos creado.

Tenga en cuenta que lo primero que intentará hacer un hacker, al menos uno experimentado, será deshabilitar la auditoria. Este evento es registrado por la auditoria del sistema. Será de vital importancia estar al tanto de este suceso.

Si un sistema de administración controla regularmente los registros para detectar suceso específicos, y extrae y reenvía los detalles a una base de datos de administración, se capturarán los datos necesarios y, por lo tanto, podrá establecer que los archivos de registro se sobrescriban y podrá consultar más claramente los sucesos que interesan.

Aquí tenemos un par de aplicaciones de ejemplo:

Dump Event Log es una herramienta de línea de comandos que se incluye en Windows 2000
Server Resource Kit, suplemento uno. Guarda un registro de sucesos de un sistema local o remoto
en un archivo de texto separado por tabulaciones. Este archivo puede importarse a una hoja de cálculo o base de datos para realizar una investigación más detallada. La herramienta también sirve para filtrar determinados tipos de sucesos que se desea incluir o excluir.

EvenCombMT es una herramienta con varios subprocesos que analiza registros de sucesos de varios servidores al mismo tiempo generando un reporte de cada servidor, con sus criterios de búsqueda.

DESHABILITAR SERVICIOS

En las instalaciones predeterminadas de Windows 2000, el sistema instala y levanta muchos servicios que, tal vez, no utilicemos nunca. Mientras menos servicios tengamos habilitados, menos posibilidades le estaremos dando al intruso.

Por ejemplo: si no utilizamos los servicios de telnet, tendremos que deshabilitarlos. Lo mismo con el servicio de protocolo simple de transferencia de correo SMTP. Por nombrar mas servicios probablemente innecesarios según la configuración, cliente DHCP, Dfs, Fax, SharedAccess, Mnmsrvc (escritorio remoto compartido NetMeeting), etc. Lógicamente dependiendo de cada configuración de servidor.

Desde luego que si no utilizaremos el TSAC en nuestro TS, tampoco hará falta, a menos que tengamos dos servidores en uno (TS y WEB), utilizar los servicios de IIS.

Podremos utilizar el glosario de servicios de Microsoft, que está en la siguiente ubicación:
http://www.microsoft.com/windows2000/techinfo/howitworks/management/w2kservices.asp

Una vez que considere que ha realizado todas las configuraciones necesarias, aplicados los services packs, correcciones, modificaciones de plantillas etc., puede utilizar el Microsoft Baseline Security Analyzer (http://www.microsoft.com/security/mstpp.asp) para chequear la configuración de seguridad aplicada. El MBSA hará el trabajo por usted, al revisarle sus servidores y/o equipos con lo que Microsoft considera, como el nombre de la herramienta lo indica, la línea básica de seguridad. Esta útil herramienta le indicará si falta alguna actualización o corrección, además de posibles agujeros de seguridad, y sobre todo, como resolverlos.

Pero luego de tomar estas medidas, no todo será tranquilidad (nunca lo será) si no tomamos muy en serio la seguridad interna, sin descuidarnos de la ingeniería social. Las encuestas nos dicen que la mayoría de los ataques, al menos los exitosos, se producen dentro de la misma empresa.

Tomás Soto (Sn@ke)
León (España)

Texto propiedad de www.vilechahosting.com

REGRESAR

Vilecha-Hosting ©2008