Me explico, yo tenía mi server de correo con 2 tarjetas de red, una con
"ip real" y la otra en la LAN. Esa fue una deficiencia que me cogieron
en la primera inspección y para colmo de males el servidor de correo era
MDaemon, el sistema operativo Windows Server 2000 y el cortafuegos ISA
Server 2000. Poco faltó para que me cerraran el servicio. Este fue uno
de los señalamientos:
* La arquitectura de la red no cumple con la seguridad requerida,
[...] y los servicios internos están expuestos en IP reales
(servidor de correo electrónico con los buzones, DNS, Proxy).
Esta inspección la realizaron en el 2010, cuando eso yo no sabía nada de
Linux y tuve que prepararme porque
En la segunda inspección yo mantenía el MDaemon, había cambiado el ISA
para 2006 y el Server para 2003, ya tenía un cortafuegos en linux y el
servidor de correo ya no estaba con IP real sino una interfaz de red en
la DMZ y la otra en la LAN. Así tampoco era seguro y me lo señalaron así:
* Se encuentra expuesta a nivel de DMZ la buzonería de correo. Art 57,
58 y 73
Si se lee el artículo 73 de la 127 tenemos:
ARTICULO 73.-Los servidores de redes de una entidad destinados a
facilitar accesos hacia o desde el exterior de las mismas no serán
instalados en las máquinas en que se instalen los servidores destinados
para el uso interno de dicha red.
Por lo que queda claro el señalamiento.
Ahora si usted es el administrador de una red, que no tiene "ip real" no
creo que deba tener pasarela de correo pues solo recibirá el correo de
algún servidor de su entidad pero si está en mi caso entonces ya es
guerra avisada y le recomiendo que ponga su cortafuegos con linux y sin
ningún tipo de servicio, ponga en una DMZ el DNS externo si usted lo
administra (mi caso), ponga un servidor de correo que recibirá el correo
para su dominio y en la LAN su otro servidor de correo con los buzones
de sus usuarios. Cree las reglas correspondientes tanto en el
cortafuegos que está de cara a Internet para que deje pasar hacia la DMZ
(dnat) el tráfico DNS y SMTP (mi caso) de los servicios que usted
publica para el exterior y reglas en el servidor de la DMZ para que el
correo una vez filtrado, analizado y recepcionado por la pasarela, le
sea entregado a su servidor de correo en la LAN.
Como tips adicionales:
* tenga la máscara de red lo más cerrada posible,
* configure todos los servicios para que se guarden los logs al menos
por un año, revise los logs regularmente y verifique que se están
guardando, (a mi me pasó que en la segunda inspección me
preguntaron: guarda los logs de los servidores?, respondo que si. Me
piden ver los del cortafuegos de cara Internet y no se estaban
guardando... eso me pasó por no revisarlos),
* no permita que las contraseñas viajen en texto plano por la red (me
pasó en la segunda inspección, me conectaron a la red en lo que yo
atendía a uno de los auditores una laptop con el backtrack y las
contraseñas y los correos viajaban en texto plano por la red),
* las tablas ARP deben ser estáticas, así se dificulta un poco más la
técnica de hombre en medio y envenenamiento de la caché ARP y lo
anterior no es tan fácil hacerlo.
* la navegación debe permitirse por los 4 parámetros básicos: usuario,
contraseña, ip y mac,
* los usuarios en los controladores de dominio deben estar en unidades
organizativas,
* los logs deben almacenarse y guardarse en su formato original,
* solo el administrador debe poder cambiar la hora de los servidores y
estaciones de trabajo,
* el PSI debe reflejar la realidad de lo que se tiene implementado
Bueno podría seguir escribiendo de mis experiencias pero ando corto de
tiempo, hoy es lunes y día de reuniones.
pd: En mi experiencia personal son buenas las inspecciones de la OSRI.
Yo creía en el 2010 que tenía mi red segura y me la hicieron leña. Si no
fuera por esa primera inspección no me hubiera adentrado en el mundo de
Linux, no hubiera conocido de las vulnerabilidades que tenía y que sigue
teniendo porque nada es perfecto... Ya en el 2011 en la segunda
inspección de MUY VULNERABLE pasé a ACEPTABLE. byeeee
Damián Tomey Soto
Administrador Red EQRO
Tel: (32) 413011 Ext. 1488
El 15/09/2014 a las #4, joel escribió:
Hola colega, dices que te dijeron que debes tener dos servers de correo?
En la 127 te especifican que debes separar los servicios internos de
los externos, así que si vas a dar servicio de correo a fuera de tu
entidad lo de los dos servers se entiende, pero si vas a dar servicio
de correo a tu propios usuarios desde afuera de la red, también te
indican usar dos servers de correos?, pues lo que si me queda claro
que lo tienes que tener mediante una pasarela (o mas bien detrás de un
cortafuego que es el que debe dar la cara).
No me queda claro que el server de correo sea un servidor de servicio
interno (me parece que interno seria del DNS, el de una Base de Datos
pero el de correo a mi parecer es interno y externo, como te lo
catalogaron los de la OSRI?)
Es bueno saber por donde están dando los tiros los de la OSRI.
--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL:
<http://listas.jovenclub.cu/pipermail/gutl-l/attachments/20140915/61501f97/attachment.html>
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l