CONSEJOS SOBRE SEGURIDAD PARA REDES Y EQUIPOS CASEROS PARA EL 2004

por carlosues, maty & compañía y Saulo Barajas

Amigos lectores, coincidiendo con la entrada del año 2004, queremos aprovechar para dar un repaso a las medidas de seguridad que hasta ahora hemos venido utilizando y que puede que sean insuficientes a partir de ahora, para ello contamos con la colaboración de Saulo Barajas http://www.saulo.net/ un auténtico experto en Redes y en ayudar a los demas desde su página o desde su lista de consultas que encontraréis en la misma página, así mismo y como no podemos descuidar a los usuarios particulares contamos asimismo con el consejo de maty http://www.nautopia.org quien, como muchos ya sabréis, lleva años preocupándose, desde la comunidad que administra, de orientarnos en temas de seguridad, firewalls y cifrado.

Dado que los nuevos gusanos utilizan técnicas hasta ahora desconocidas, nos usan como Spammer, tienen su propio motor SMTP llegan a dejar fuera de control una Central Nuclear por mas de 5 horas y entran por puertos habilitados en teoría para el uso de diferentes servicios...

 

Amigo Saulo... ¿qué consejos darías al administrador de redes que no quiera verse sorprendido?....

Saulo Barajas
www.saulo.net

Los consejos básicos de seguridad para los administradores siempre han sido esencialmente los mismos, sin embargo, es ahora con la proliferación de virus y ataques automatizados, cuando no se pueden descuidar ni un momento.

CORTAFUEGOS

La primera medida básica es no conectar ningún equipo directamente a Internet sin un cortafuegos correctamente configurado. Esto incluye a los portátiles que frecuentemente se mueven de los domicilios particulares a las empresas e introducen software malicioso en las redes corporativas.

Ya sea mediante un cortafuegos u ocultando los PCs mediante direcciones IP privadas conseguimos que desde Internet no se pueda acceder directamente a los puertos de los equipos internos. De esta forma, aunque existan aplicaciones vulnerables a la escucha de puertos, estaremos protegidos de ataques externos. Observemos que esto abarca tanto fallos de seguridad conocidos como nuevos por descubrir.

 

ACTUALIZACIONES DE SEGURIDAD

La siguiente medida básica es instalar todas las actualizaciones de seguridad del sistema operativo y de las aplicaciones de red que utilicemos. El número de servicios abiertos debe ser siempre el mínimo imprescindible para funcionar. Esto garantiza que el número de puertos abiertos (vías de entrada al equipo) será el menor posible y que aquellos que estén abiertos no serán vulnerables a fallos de seguridad conocidos.

 

REDES INALAMBRICAS

Las redes inalámbricas, las cuales han sido muy bien acogidas durante 2003, van a terminar de desplegarse masivamente en este nuevo año. Estas redes están ya suponiendo una gran amenaza de seguridad para las empresas.

Se debe vigilar que no se conecten a la red de la empresa puntos de acceso no autorizados y que, en los existentes, se utilicen estándares de encriptación de datos (WEP o 802.1x), ocultación del SSID, restricción de direcciones MAC que pueden conectarse al punto de acceso, etc. De lo contrario, toda la red de la empresa podría quedar abierta a cualquiera que pase por la calle con un portátil.

 

PROTECCION CONTRA VIRUS

Las políticas de protección contra virus de las redes empresariales están más que nunca de plena actualidad y especialmente aquellas que afectan al correo electrónico. La instalación de un antivirus en el servidor de correo de la empresa es algo primordial, sin embargo, su configuración no es trivial.

Se ha demostrado que enviar al remitente una notificación de que su mensaje contiene virus genera más inconvenientes que ventajas, debido a la falsificación de remitentes en los correos. Por este motivo se recomienda deshabilitar las notificaciones al origen.

El software antivirus debería tener capacidad para discernir entre los correos generados de forma automática por un virus a direcciones aleatorias de aquellos correos que envían usuarios con un archivo infectado. En el primer caso, se podría borrar el correo sin más pero en el segundo, se debería notificar al destinatario y desinfectarlo si es posible. Esto sería un comportamiento ideal pero complicado de conseguir en la práctica.

Recordemos además que un antivirus que no esté permanentemente actualizado resulta hoy en día inservible y que la seguridad perimetral no es motivo para descuidar la seguridad en los puestos de trabajo. Aplicado esto último a la protección contra virus significa que debemos instalar y mantener antivirus residentes en memoria también en los puestos de trabajo.

 

LUCHA CONTRA EL SPAM

Por otro lado, el spam, debido a su multiplicación en los últimos meses, debe ser también tratado como un problema de seguridad. Se debe combatir desde dos frentes. El primero es establecer restricciones para que nuestros servidores SMTP no puedan ser usados por usuarios ajenos a la organización para enviar spam (relays abiertos).

El segundo frente es minimizar el impacto que tiene el spam recibido en nuestros sistemas. Una medida que se ha planteado es comprobar que el servidor SMTP del remitente no esté en una lista negra de servidores de spammers, utilizando para ello listados públicos como SpamCop.

Estos listados se generan automáticamente a medida que los usuarios van reportando incidencias, aunque en el caso de servidores SMTP utilizados por ISPs con un número elevado de usuarios, se corre el riesgo de que "paguen justos por pecadores" y se filtren mensajes válidos con la consiguiente pérdida de imagen para la empresa. Desde luego, no es aceptable ningún sistema que pueda filtrar correos legítimos.

Quizás lo que mejor esté funcionando para filtrar el spam sean los filtros bayesianos como K9 o POPFile. Desde luego, lo mejor es prevenir evitando que las direcciones de nuestros usuarios caigan en manos de spammers. Por ejemplo, no publicándolas directamente en la página web y sustituyéndolas por formularios u otras técnicas.

 

Quedan muchos puntos por tratar pero al menos con los consejos anteriores cubrimos los aspectos más básicos que a menudo se descuidan, por desconocimiento, falta de tiempo u olvido de los administradores y que comprometen el funcionamiento de las redes corporativas.

 

Amigo maty, dado que el parque de pcs personales está en constante aumento y son parte muy importante en la distribución de nuevos virus, ya que difícilmente pueden usar una red bien protegida como servidor de Spam, ¿qué aconsejas a dichos usuarios para que puedan estar tranquilos y seguros de que su ordenador está sólo al servicio de ellos?

maty AND {godi/GODMODE OR Wolffete OR Xavier Caballé}
http://www.nautopia.org

*Tras la n-sima revisión probablemente aún habrán imprecisiones y errores, del todo involuntarios, que serán solventados en cuanto seamos conscientes de ellos.

Hemos de distinguir entre dos tipos de usuarios:

  1. los habituales de los sistemas propietarios y código oculto de Microsoft: los inseguros y chismosos WINDOWS
  2. y los que optan por S.O. libres y de código abierto GNU/Linux, FreeBSD, ...

Cualquier sistema operativo recién instalado es inseguro de por sí, necesita ser asegurado, en especial en todo aquello referente a las comunicaciones, básicamente Internet para la mayoría de usuarios caseros (que trabajan en monopuesto o en una pequeña red local).

 

PARTICIONAMIENTO/REDIMENSIONADO del DISCO DURO

El proceso de aseguramiento ya comienza durante la instalación. Los actuales discos duros (HD) ya superan el centenar de GBs de capacidad, por lo que han de ser particionados debidamente, instalando el S.O. en una partición primaria (preferiblemente NTFS para NT, W2000 y WXP). Si lo acompañamos de otros, lo mejor es instalarlos en otras particiones primarias ad hoc (FAT32 para W98/ME). Por eso lo mejor es que particionemos antes, con utilidades externas (el gratuito Ranish Partition Manager 2.44 es una opción de coste nulo), reservando espacio libre para las distribuciones LINUX, creando las dos particiones necesarias durante su instalación, menos problemático.

Muchos ordenadores vienen con S.O. ya instalado, sobre todo los portátiles (con XP Home en estos días, la opción PRO es mucho más cara y pocos usuarios le sacan partido). Si no queremos volver a instalarlo tras la partición, lo mejor será desfragmentar la partición de sistema (que suele ser la única! del HD) y a continuación reducir el tamaño de la misma (The Partition Resizer v.1.3.4 es gratuito).

 

GESTOR DE ARRANQUE DE LOS S.O.

Cada vez es más frecuente tener varios sistemas instalados en una misma máquina, siendo lo más aconsejable el uso de un gestor de arranque externo que nos evitará posibles problemas futuros. Disponemos del excelente, gratuito, código abierto y en español GAG (Gestor de Arranque Gráfico), instalable desde DOS, Windows y LINUX, una maravilla de programa, con entorno gráfico, y con manual disponible en NAUTOPIA escrito por daexma http://nautopia.coolfreepages.com/gag/GAG_gestor_arranque.htm

Los que instalen LINUX tienen la posibilidad de seleccionar GNU GRUB como gestor de arranque http://www.gnu.org/software/grub/grub-faq.es.html

 

SERVICIOS INNECESARIOS

Windows, además de muy inseguro es muy chismoso, es decir, que nos espía, a diferencia de sistemas libres, menos inseguros y que no espían a sus usuarios. Versión tras versión, los S.O. y programas de Microsoft han prestado menor atención a la seguridad, haciendo oído sordos a las quejas que se levantan en la Red. El XP destaca sobremanera en ello, por lo que debe ser acotado debidamente, inhabilitando servicios innecesarios y espías, además de facilitar el acceso a usuarios sin autorización. Para ello disponemos de la utilidad gratuita y en castellano: XP-Antispy 3.72.

Para los nuevos usuarios del XP que lo estrenan en sus flamantes nuevas máquinas, han de tener en cuenta que no se pueden conectar a la red sin tener un cortafuegos instalado y ACTIVADO, ya que si no a los pocos minutos estarían infectados por el Blaster/Lovsan. Una vez detrás de un cortafuegos, han de instalar el SP1 y el resto de la retahíla de parches (incluyendo los que afectan al IE).

En HISPASEC, días atrás se publicó: Guía supervivencia Windows XP: Información

Los servicios innecesarios deberemos deshabilitarlos manualmente. Información exhaustiva y en español:

En inglés, para W2000 y XP (+ guía instalación W2003 Server)

Las distribuciones LINUX (Debian, Mandrake, VectorLinux -Slackware-, Suse, ... ) también han de ser aseguradas, siendo lo primero, en trabajar habitualmente como usuario normal, NO COMO ADMINISTRADOR, con todos los permisos. Demasiados nuevos usuarios pecan de creerse invulnerables, cuando ni tan siquiera han modificado la configuración por defecto, cambiado los permisos, habilitado el IPTABLES -configurándolo debidamente, ...

 

BICHOS

El gran problema actual radica en las comunicaciones. Virus, gusanos, troyanos, R.A.T. y demás fauna son términos ya familiares, sobre todo en el entorno windows. Si bien es cierto que los windows tienen herramientas de sistema que permiten asegurarlo, casi nadie lo hace, bien por desconocimiento, por comodidad o por simple vagancia (los foros hispanos están llenos de preguntas sobre cómo optimizar los programas P2P, y los usuarios se esfuerzan en aprender, no así en lo relativo a la correcta configuración de los cortafuegos). Recordemos que la comodidad está reñida con la seguridad.

Además de los bichos, también podríamos encontrarnos con algunos desaprensivos (unos pocos crackers y una pléyade de lammers -aprendices de brujo-) que quieran entrar en nuestro sistema para ocultar sus comunicaciones o simplemente fastidiarnos (algo muy habitual entre los usuarios del muy potente pero inseguro IRC y del MSN MESSENGER).

Un inciso, no los confundamos con los verdaderos hackers, pocos en la red hispana, capaces de entrar manualmente en sistemas no caseros, sin dejar rastro y sin provocar daño alguno, y que no publicitan sus actuaciones. Los hackers no andan molestando a los usuarios caseros, siguiendo una "ética hacker". No, son muy pocos, los de verdad, muy lejos de espíritu "mesiánico" alguno, sin carnet que los identifique.

Hackers, crackers, seguridad y libertad, por Manuel Castells

Enciclopedia Libre

Cierto es que los no usuarios de windows tienen poco que preocuparse por los bichos, pero no así de esos impresentables que pululan cada vez más.

 

WINDOWS: "Utilicemos Herramientas Externas"

La mayoría de las infecciones se producen a través del correo y la navegación, aumentando últimamente las incidencias reportadas por el uso de programas (básicamente juegos) descargados desde redes P2P, olvidando que ha de escanearse lo descargado.

Si bien, el OUTLOOK e INTERNET EXPLORER pueden ser configurados debidamente para evitarnos problemas, muy pocos siguen los consejos al respecto que se comentan en VSAntivirus una y otra vez: http://www.vsantivirus.com/faq-sitios-confianza.htm.

Aún así, son programas a evitar a toda costa, con numerosos agujeros de seguridad, algunos de los cuales MICROSOFT se niega a reconocer y solucionar prontamente, con su política de parches. Si disponemos de alternativas gratuitas mejores y en castellano, e incluso de código abierto, ¿a qué esperamos a migrar a ellos? Otros softs también tienen reportes de vulnerabilidades, en menor cuantía, que solucionan prontamente, reescribiéndolos, y no con parches sobre parches ... que tantos disgustos nos dieron el año pasado, de mano de la empresa de Redmond.

Gestores de Correo Alternativos

  • Pegasus, gratuito y muy potente, a la par que bastante lioso. En inglés (no parece haber mucho interés en traducirlo).
  • Eudora Free (incorpora un banner), por desgracia, ha tardado un año en sacar la última versión, mientras las vulnerabilidades detectadas seguían sin solucionarse; pésima política, sobre todo para los usuarios de la versión de pago.
  • Thunderbird, gratuito, código abierto, de MOZILLA. Está evolucionando muy rápidamente y ya está en la lengua de Cervantes desde la v 0.4.
  • Sylpheed, Foxmail, o el gestor que incorporan el navegador noruego, de soft propietario, OPERA y el libre MOZILLA (con versión hispana disponible).

El mejor de todos los gestores de correo que conocemos (en cualquier plataforma) es el moldavo THE BAT!, pero es de pago, (incluso usuarios avanzados de LINUX lo emulan gracias a WINE) http://www.beeeeee.net/nautopia/thebat.htm#thebat

Una maravilla de software, con pleno soporte en español, manuales, mejoras y lista de correo -con web propia e independiente- de usuarios hispanos http://www.gdutb.org/

 

Filtrado de correo indeseado (spam)

Para eliminar el spam, lo más efectivo es revisar la correspondencia directamente en el servidor. EUDORA, PEGASUS, THE BAT! lo permiten. Para el resto, hemos de utilizar una utilidad externa. En windows, volvemos a estar afortunados, disponemos del gratuito, traducido y de código abierto POPTRAY 3.0.2, que es multicuenta, que en la v3 ha superado claramente al más conocido MAILWASHER PRO. http://www.poptray.org/

También podríamos utilizar programas para el filtrado del correo indeseado (spam), como K9, POPFILE y SPAMPAL o utilizar plugins para el gestor, como el BAYESIT! del THE BAT! Al utilizar filtros bayesianos, van "aprendiendo" con el uso.

 

Navegadores Alternativos

  • Mozilla FIREBIRD, gratuito, de código abierto, multiplataforma y con numerosas traducciones, con una evolución muy prometedora. Muy configurable y seguro.
  • MOZILLA, incorpora gestor de correo, chat, (por lo que resulta más pesado al sistema que el anterior, más ligero) ... Su evolución natural es el FIREBIRD + THUNDERBIRD. Ideal para los que quieran abandonar rápidamente OUTLOOK e IE.
  • K-MELEON está basado en el motor GECKO (el mismo de los dos primeros) pero en la línea de la compilación del MOZILLA y no la del FIREBIRD, ligero y rápido, en inglés y menos configurable que FIREBIRD.
  • OPERA, con versión gratuita, en español, (con banner publicitario) y de pago. Muy configurable y seguro. Requiere menos máquina que el FIREBIRD. En máquinas relativamente modernas, que cada cual elija en función de sus gustos, mientras postergue al inseguro INTERNET EXPLORER y su motor. La ventaja del OPERA es que solucionan en días, incluso en horas, las pocas vulnerabilidades detectadas, facilitando la descarga de la nueva versión, reescrita.

Para aquellas pocas páginas problemáticas tendremos que recurrir al motor del IE, pero no necesariamente a su interfaz. Ahora disponemos de un amplio abanico de interfaces alternativos gratuitos y en castellano: Avant Browser, Crazy Browser, GreenBrowser, MyIE2, SlimBrowser, ... El que recomendamos, por su ligereza y configuración es el MyIE2, que incluso solventa vulnerabilidades todavía no resueltas por M$ (caso de la URL falsificada). La última versión 0.9.12 ya da soporte experimental al motor Gecko! http://www.myie2.com/html_en/home.htm

Todos estos navegadores e interfaces alternativos son muy superiores al IE clásico, permitiendo el filtrado de publicidad, pestañas/solapas, plugins, skins, ... por lo que no hay excusa para no utilizarlos, ninguna, salvo que el administrador de la red incumpla con sus funciones, demasiado habitual en el ámbito hispano, donde los administradores suelen encontrarse con los problemas generados por otros, al serles impuestos el soft contratado desde otros departamentos, incluido el de seguridad (es como el fútbol, todos saben, todos opinan).

 

Proxys Locales

Para evitar la publicidad excesiva y agresiva, tan en boga últimamente, lo mejor es utilizar los navegadores recomendados. Si además queremos aumentar nuestra seguridad en la navegación y no sólo filtrar la publicidad, lo más recomendable es hacer pasar el protocolo HTTP (navegación web normal) por un proxy local. El mejor, por fortuna, es gratuito y lo disponemos traducido (cómo no, por Senpai), así como manual y foros en nuestro idioma común: PROXOMITRON. ¿Por qué hemos de empeñarnos en el uso de otros de pago, que además son inferiores? http://pagina.de/senpai/

Estas reglas son sin duda las mejores de cuantas se pueden encontrar en la red, sólo es necesario incluir las reglas para no enviar Referrer y para el Proxy de telefónica. http://www.jd5000.net/index.php (deberemos revisar las propuestas por nuestra comunidad).

Proxy muy configurable y avanzado, que permite incluso el uso de proxys anónimos para la navegación (preferimos otras utilidades para ello, y con sistemas más avanzados, pero "más problemáticos"). Su creador tiró la toalla meses atrás, más la actual versión 4.5 funciona muy bien. Pensando en el futuro, estamos buscando una alternativa gratuita de igual potencia, siendo PRIVOXY la probable elección, que además es multisistema. En tal caso, recibirá el mismo soporte que el anterior, incluso más, por ser de código abierto y poder participar en su desarrollo futuro (otro tanto se intentará este año respecto al cifrado fuerte: GNUPG, WINPT, ... ).

 

Mensajeros

  • GAIM, MIRANDA, JABBER, ... son gratuitos y multiplataforma y permiten conectarse a multitud de redes, incluyendo a la de la insegura MSN MICROSOFT y su mensajero.
  • También podríamos utilizar FILETOPIA, programa para compartir ficheros, mensajero, voz, comunidades, ... todo bajo cifrado fuerte y en español (que es el que utilizaremos para impartir charlas, seminarios, ... sobre Linux, cifrado, seguridad, ... este año, una vez que la nueva edición de nuestra web con Movable Type esté plenamente operativa en el nuevo alojamiento).

 

ANTIVIRUS Y ANTITROYANOS

Los antitroyanos son innecesarios, al ser superados por los buenos antivirus. AVP/KAV de KASPERSKY y McAfee son los reyes en este apartado (NOD32 v1 de ESET sólo detectaba el 80% de un muestrario de 700 bichos utilizado meses atrás por la extinta ENLACES DE SEGURIDAD http://webs.ono.com/usr016/Agika/, todavía consultable, frente a los ratios del  90-95% de los primeros, superiores a cualquier soft específico -NOD32 v2 ha solucionado las deficiencias de la v1, desconocemos sus ratios-).

Hasta el 17 de Enero del 2002, el mejor antivirus era el ideado por el ruso Eugène Kaspersky. Con la aparición del KAV 4 perdió esa supremacía, al dar graves problemas de ralentización su módulo residente, que poco a poco ha ido solucionando. Mientras tanto, su afamada heurística ha ido empeorando -aún es de las mejores-, pero lo ha compensado con varias actualizaciones diarias! KAV 5 todavía está en fase beta y no lo hemos evaluado, esperemos que aprendan del error cometido, y no lo comercialicen antes de tiempo (error que parece están cometiendo los del cortafuegos KERIO con la versión 4, que puede echar por tierra su bien ganada fama con la v2 y WINROUTE).

A la vista del problema, estuvimos buscando alternativas. Encontramos (lo utilizaba Robin Keir en Noviembre del 2001, el autor del famoso leaktest Firehole y del actual programa antispam K9, me picó la curiosidad) al desconocido antivirus de origen eslovaco NOD32 v1, de la empresa ESET, con Anton Zajac como "mente pensante", evolucionado al excelente NOD32 v2, con Richard Marko como programador responsable de su excelente heurística y velocidad sorprendente (tanto, que algunos dudan a priori de su efectividad, incrédulos ante tanta ligereza).

La v2 soluciona las deficiencias de la anterior http://nautopia.coolfreepages.com/entrevistas/simo20022/simo_nod.htm, revisando y desinfectando todo el correo entrante y saliente, independientemente del gestor utilizado (el deficiente NORTON tiene un módulo similar). Ahora ya revisa los formatos de compresión habituales, no sólo ZIP, acercándose a la potencia del KAV, el mejor en este aspecto.

KAV 4.* Personal Pro se integra perfectamente con THE BAT! gracias a un plugin interno del gestor. Es la combinación perfecta.

Actualmente no podemos decir si NOD32 v2 o KAV4.* es el mejor antivirus, pero sí que son superiores al resto. Desde hace dos años recomendamos utilizarlos conjuntamente, con NOD32 v2 monitorizando permanentemente el sistema y revisando el correo y KAV 4 para los escaneos manuales de ficheros (gestores de descarga tipo FlashGet o P2P) e integrado con THE BAT! Para un usuario particular puede resultar gravoso utilizar dos antivirus, pero no para una red, donde el servidor tendría que correr un soft diferente al de los clientes, sobre todo el servidor de correo.

El resto de antivirus de pago están por debajo de estos dos, bastante por debajo. McAfee, si bien destaca como antitroyano, en todo lo demás no. NORTON, a pesar de sus buenos resultados en VBULLETIN (donde NOD32 es el nº1 y KAV ha ido perdiendo escalones a causa de la heurística y porque se diseñan las pruebas para dejarlo en evidencia, al ser el de referencia de los creadores de bichos -sabedores que si superan al KAV, probablemente también a los demás-) está demostrando ser poco eficaz ante los bichos nuevos, al basarse sólo en su base de virus.

De ahí la importancia de una buena heurística y la frecuencia de actualización de sus bases y módulos.

Parece que McAfee es superior al NORTON, pero no recomiendo ninguno de ellos. NORMAN y SOPHOS (una gran decepción, probado tras saber que Antonio, de HAYGENTEPATO http://www.haygentepato.8k.com/menu.htm -gracias a él descubrimos al viejo cortafuegos TINY 2.- lo estaba evaluando), mejor que prescindamos de ellos.

Hay más antivirus, de calidad intermedia y con menos marketing, como el ruso Dr. WEB (lamentable soporte en español), el PER peruano, ..., pero ninguno nos ha convencido como alternativa a los dos primeros (el año 2003 estuvimos evaluando unos cuantos, exhaustivamente).

Finalmente nos queda hablar del español PANDA. Los usuarios avezados y los administradores de sistemas lo evitan a toda costa, aún así lo sufren debido a decisiones de otras personas o departamentos. De la nueva versión no puedo comentar de primera mano, pero de las anteriores ... Lo mejor es que utilicemos los buscadores de internet para encontrar información al respecto, no sólo de él. Sí, ese es el auténtico tribunal, la opinión de usuarios contrastados (no los que opinan que tal o cual es bueno porque no les da problemas).

Sea cual sea el utilizado, debe configurarse y ACTUALIZARSE debidamente, algo que demasiados obvian.

Por desgracia, los antivirus gratuitos no están a la altura de lo exigible, y no parece que lo consigan. Mejor eso que nada. Muchos los utilizan para tener una segunda opinión.

 

CORTAFUEGOS SOFTWARE

Si queremos evitar que se nos cuelen en nuestro sistema o que algún bicho que nos haya infectado previamente pueda comunicarse con el exterior, deberemos recurrir al uso de cortafuegos software personales, incluso si estamos detrás de un router!

Disponemos de un programa gratuito para uso personal: KERIO 2.1.5, que permite, no siendo obligatorio, la creación de reglas/filtros personalizados. Traducido, gratuito, manual y foros en español, con reglas propuestas desde la comunidad nautópata fácilmente importables.

La nueva versión KERIO 4 ha de considerarse BETA, aunque la empresa no lo reconozca. Continuamente le son encontradas vulnerabilidades, a pesar del largo tiempo transcurrido desde su desarrollo, que pasó por una versión 3 que no llegó a fructificar en versión estable. Por tanto, a día de hoy, mejor seguir con el "viejo" KERIO, que sigue tan efectivo y funcional, además de estar ampliamente contrastado.

La última versión KERIO 4.0.10 parece ir bastante bien, según lo que comentan nuestros foreros y godi (que está puliendo su versión de las reglas, en "competencia" con las propuestas por mí para el K4 en el manual escrito por daexma), mas todavía no ha sido "atormentado" debidamente, por lo que no podemos pronunciarnos al respecto de su fortaleza, a día de hoy.

La alternativa es el SYGATE (inferior al primero, pero seguro en la actualidad).

  • ZONEALARM PRO 4 ha mejorado considerablemente desde las viejas y poco resistentes v2. Permite cierta configuración avanzada, que pocos utilizan.
  • ZONEALARM FREE 3, mejor eso que nada, sí, con colorines, pero poco más. Tal como se está poniendo el panorama, la no posibilidad de reglas personalizadas lo hace cada día menos aconsejable, sobre todo si tenemos en cuenta que el KERIO 2.1.5 es gratuito!
  • BLACKICE podría ser uno de los mejores cortafuegos pero, al igual que "eso" del XP, no evita la salida a troyanos, gusanos, servicios del windows, ... Y no enmiendan (más de dos años denunciándolo).
  • NORTON FIREWALL. Si deficiente es al antivirus, muchísimo peor es su cortafuegos, que habitualmente van de la mano. Un "coladero" frente a los distintos leaktests disponibles en la red, es decir, fácilmente atravesado desde dentro. Una muestra de la pésima evolución de SYMANTEC, que va absorbiendo a otras empresas, empeorando los productos adquiridos con el talonario ¿quién se acuerda del buen cortafuegos ruso ATGUARD, que es en el que se basa/ó NORTON, ahora SYMANTEC? O las NORTON UTILITIES, o ... No se puede vivir permanentemente de glorias pasadas, ni de la inversión en publicidad.
  • "Eso" del XP, llamado pretenciosamente cortafuegos interno, que sólo tiene en cuenta los ataques externos, no los internos, dejando al XP las manos libres para comunicar nuestros secretos a la matriz de MICROSOFT y a las distintas agencias de seguridad estadounidenses (no es una fabulación). Que se lo pregunten a los Ministerios de Defensa alemán, israelí, al gobierno sueco, ...

Por deficiente que sea el cortafuegos, es temerario navegar sin él, hecho que muchos "descubrieron" tras la plaga del Blaster/Lovesan de Agosto del 2003. Plaga que también evidenció la necesidad de inhabilitar servicios innecesarios de los windows para la gran mayoría de usuarios caseros. Tal es el caso del RPC, ya avisado hace dos años y medio en la tabla de reglas para el viejo TINY (los programadores abandonaron la empresa y crearon KERIO, siendo la versión 2 una evolución de la antigua de TINY) subidas en mi antigua página personal, origen de la actual NAUTOPIA  http://nautopia.coolfreepages.com/tabla.htm

Para redes lo mejor es acudir a cortafuegos hardware, hoy por hoy, de coste inasumible para usuarios caseros y sus pequeñas redes locales. En tales casos, en los que se ha de compartir la conexión, lo mejor es acudir al KERIO WINROUTE (el TINY 5 no lo hemos evaluado). En lo posible hemos de evitar compartir la conexión utilizando las facilidades del windows y el uso del bien conocido WINGATE, tan inseguros ellos (al menos hasta hace pocos meses).

 

AGUJERO NEGRO EN LA GALAXIA WINDOWS

Desde hace mucho tiempo, venimos denunciando el AGUJERO NEGRO DE PROPORCIONES GALACTICAS que padecen TODOS LOS WINDOWS (Windows 2003 Server no lo he tastado, hay otras prioridadades). El título es sensacionalista pero lo denunciado NO. Sí, un pelín exagerado, pero es fruto del "hartazgo" que provoca la no asunción de sus reponsabilidades por parte de la empresa de Bill Gates, trasladando el proceso de la solución a otros, cuando los usuarios han pagado por tener un S.O. "en condiciones", con una seguridad aceptable.

Días atrás fue aprovechada la existencia de una gran vulnerabilidad en una compilación antigua del Kernel 2.4 de LINUX para atacar diversos sites, ataque facilitado por ho haber migrado en su día a una compilación del Kernel 2.4 más moderna, con el problema ya resuelto. Pero los usuarios de los productos de MICROSOFT no tienen esa opción, ni la tendrán.

En palabras simples, comprensibles para todos: una aplicación puede hacerse pasar por otra (suplantar) muy fácilmente, habitualmente nuestros "queridos" OUTLOOK e INTERNET EXPLORER, con permiso para comunicarse. Así que el cortafuegos, o el  mismo router, no evita la suplantación, "cosas de windows".

La firma digital MD5 que incorporan tanto KERIO 2 como ZONEALARM no es efectiva, puesto que el engaño se produce antes (cosas de la "DLL injection").

Kerio 3 y 4 ya están programados para evitar la suplantación, pero son vulnerables por otro lado, de ahí que no demos nuestro visto bueno hasta que hayamos contrastado su fortaleza.

 

SSM System Safety Monitor

Semanas atrás descubrimos un soft gratuito ruso (disponible en inglés y próximamente en español, una vez más gracias a Senpai) SSM System Safety Monitor que permite evitar tal AGUJERO NEGRO de seguridad, del que MICROSOFT se desentiende, descargando la reponsabilidad en los cortafuegos, cuando es claramente un GRAVE ERROR de DISEÑO del S.O. http://maxcomputing.narod.ru/ssme.html

Wolffete está escribiendo una guía rápida del SSM, con numerosas capturas de pantalla. Intentaremos colaborar en la optimización del programa.

 

LINUX: IPTABLES

Los usuarios LINUX no tienen muchos problemas con virus, ... pero padecen las malas prácticas de los usuarios windows, así que también han de asegurar el sistema. Si nos centramos en las comunicaciones, disponemos de IPTABLES, que trabaja a nivel del propio núcleo (kernel), siendo un "cortafuegos" de estado, que es a lo que deberían evolucionar los cortafuegos software windows (por eso gusta tanto KERIO WINROUTE, que es lo más que se aproxima en el mundo windows).

En la guía rápida disponible en nuestra comunidad y escrita por gringo:

  • "Es uno de los mejores cortafuegos disponibles, incluyendo soluciones comerciales, y desde luego, la mejor solución gratuita por su potencia y versatibilidad.
  • Hay que apuntar que iptables es una extensión del kernel, es decir, el propio sistema se encarga de su gestión y lo que eso conlleva, para bien o para mal.
  • Su función consiste básicamente en analizar todo el flujo de tráfico entrante y saliente hacia/desde él y tomar unas decisiones sobre cada paquete en base a unas reglas definidas."

Este año queremos centrarnos en el aseguramiento de LINUX, tanto a nivel escritorio como servidor. Por cierto, para servidores, la mejor opción, la más barata, segura, fiable y rápida pasa por GNU/LINUX y FREEBSD (u OPENBSD), no por WINDOWS. Aquellos que busquen alojamiento web que opten mejor por las soluciones no basadas en windows, menos configurables y seguras, además de un mayor coste.

 

CONTENEDORES BAJO CIFRADO FUERTE

A pesar de todo, podríamos ser víctimas de un descuido, así que lo mejor es tener a buen recaudo los datos más confindenciales. Para ello lo más cómodo es el uso de software de cifrado específico, como el gratuito PGP 6.5.8 CKT Build 9 Beta 3 compilación de IMAD's (que funciona también en XP -sólo 3 usuarios han manifestado lo contrario, godi incluido-) -tamaño máximo por contenedor de poco más de 800 MBs- y nuevamente traducido por Senpai. Podemos crear un fichero que hará de contenedor donde guardar los datos. Tal contenedor lo podemos montar como una partición más del sistema, con sus mismas propiedades y permisos, cuando queramos acceder a su contenido.

Si queremos crear contenedores de muchos GBs, la mejor opción es el noruego BESTCRYPT, de pago y multiplataforma, ideal para redes. En esos contenedores podremos poner a buen resguardo lo descargado desde los P2P por ejemplo (antes de abrir el cliente, se monta la partición).

Windows XP PRO permite el cifrado de ficheros y particiones. Sí lo permite, pero dados los antecedentes, como para fiarse.

En LINUX, durante la instalación, tenemos la posibilidad de crear particiones cifradas, sin coste adicional.

 

COPIAS DE SEGURIDAD DE LOS DATOS

Pero no sólo hemos de preocuparnos por aquellas fotos comprometidas de Nochevieja, la declaración de impuestos, o datos financieros, ... también por la documentación y programas guardados en el HD. Para ello, lo más cómodo es utilizar un segundo disco duro donde haríamos copias incrementales de los directorios que queramos. Contamos con el soft gratuito y en castellano (próximamente daexma terminará la traducción del manual, en colaboración con el autor cubano) COBIAN BACKUP 5 (el autor está cavilando en liberar el código, habrá que "estimularle").

Una buena opción es utilizar una placa base que incorpore RAID, lo que permite tener hasta 8 dispositivos de almacenamiento, con funcionamiento en modo RAID 0, 1 y 2. Así podríamos tener automáticamente una copia idéntica del contenido del disco principal en otro, con lo que no perderíamos los datos en caso de accidente. Por unos 30 euros más merece la pena (los fanáticos del video digital también les sacan partido, si lo configuran de modo que la velocidad de acceso a los datos se incremente apreciablemente).

RAID 2.... es inviable, es muy muy raro encontrar una controladora que permita este tipo de RAID en ámbito doméstico. Lo típico es RAID 0, 1, 0+1 y dos discos duros idénticos. Además tales placas suelen venir con el añadido de conexiones IEEE 1394 "Firewire", con lo que se ahorra la compra de una tarjeta para conectar la cámara de video (unos 60€). Con ese dinero ahorrado y la compra de un procesador AMD en vez de un INTEL podremos tener un monitor CRT (en imagen se huye de los TFTs) más grande y de mejor calidad, que nos será siendo útil más adelante.

Wolffete: "Sí, una controladora es barata, inclusive la mayoría de placas base actuales ofrecen llevarla integrada en sus versiones "de luxe", pero lo costoso en estos casos es el soporte físico de almacenamiento, es decir, los HDs.

A mi modesto entender, el mejor backup para un usuario casero es un HD extraíble y conectarlo sólo en el momento de realizar la copia (para evitar su afectación en caso de infección o compromiso del equipo). Aunque no es frecuente en las placas bases normales por sus canales IDE, muchas de las controladoras RAID que veo soportan el hotswap. Otra opción serían los modernos HDs conectados por firewire o USB 2 (USB 1 haría el proceso de transferencia aun más lento); la pega es que estos dispositivos aún salen algo caros."

La mayoría de controladores actuales permiten RAID-1 (espejo) entre discos que no sean idénticos; pero las particiones han de tener el mismo tamaño.

 

COPIAS IMAGEN DE LAS PARTICIONES CON SISTEMA

¿Y la partición donde está instalado el S.O.? Si hemos tenido la precaución de particionar los gigantescos discos actuales (no tan grandes si se almacena video digital -devorador de GBs-) lo mejor será crear copias imagen, a ser posible desde fuera del windows, para evitarnos sorpresas desagradables. Es decir, arrancando desde disquete o CD, instalando DOS, FREEDOS o un miniLINUX en memoria. Contamos de una gran utilidad gratuita: PARTITION SAVER 2.80. Así, en caso de desastre, en pocos minutos volveremos a una instalación anterior.

Recordemos que las grabadores se pensaron para las copias de seguridad, no sólo para juegos, música y videos!

Sí, es cierto que hemos de emplear un tiempo para intentar implementar una mínima política de seguridad, pero seguro que nos reducirá nuestra exposición a los riesgos inherentes a la compartición de datos.

 

OTROS CONSEJOS

  • En la medida de lo posible, evitemos el uso del INTERNET EXPLORER para las operaciones financieras, ya que su implementación del cifrado de 128 bits es más que discutible (debilitada expresamente). Que no, ni el nefasto nefasto nefasto OUTLOOK ni INTERNET EXPLORER.
  • No olvidemos tampoco la información adicional que incorporan los *.DOC del WORD del OFFICE, tan conocido desde hace muchos años (motivo de la detención en 1999 del creador del Melissa). O que el sistema de ficheros NTFS guarda datos aunque procedamos a su borrado "seguro". Para documentos confidenciales lo mejor es recurrir a particiones FAT (FAT32 a ser posible). O si no, tendremos que acudir a utilidades para el BORRADO SEGURO "de verdad", como el gratuito ERASER.
  • Si nos deshacemos de un HD antiguo, asegurémonos de que no contenga datos confidenciales. Lo mejor será borrarlos desde disquete/CD autoarrancable:  Darik's Boot and Nuke ("DBAN"), gratuito, y por ahora en inglés. También implementado el DBAN en el ERASER.
  • Para deshacernos del spyware: Ad-Aware y SpyBot (que preferimos). Como son gratuitos, instalemos los dos. Desde el SPYBOT inmunicemos al INTERNET EXPLORER (ya són más de 500 inmunizaciones!!!) y ...
  • Y no olvidemos de inhabilitar o desinstalar el Windows Scripting Host WSH. NORTON, sí la misma, dispone de una utilidad gratuita para ello: noscript.exe.
  • Los correos veámoslos por defecto en MODO TEXTO. El "rechuli" INCREDIMAIL utiliza el motor del IE para el correo HTML, como el mismo OUTLOOK, así que es igualmente inseguro. Recordemos que no es necesario abrir el correo recibido por el OUTLOOK para que nos infectemos. Que no, cambiemos de gestor,  o al menos configurémoslo como aconsejan en VSAntivirus.
  • Para redes, debiéramos instalar un Sistema de Detección de Intrusos (IDS). El más conocido y muy potente es el SNORT, multiplataforma, que tanto le gusta a alfon, quien ha escrito manuales al respecto.
  • Hemos de conocer qué procesos están corriendo en nuestro sistema. PrcView 3.7.2.1 y Process Explorer 8.10 (traducido por Senpai) son gratuitos. Algunos bichos no son visibles desde la Administración de Tareas, así que nuevamente hemos de recurrir a herramientas externas.
  • Y tantas otras cosas que dejo en el tintero, como las comunicaciones inalámbricas y su inseguridad actual, incluyendo al violentado Bluetooth, que ha originado un nuevo término: bluehacking. Por ejemplo, muy fácilmente podemos enviar correos anónimos y spam a un usuario vecino, futura fuente de "bromas pesadas" en las oficinas. Si sólo fuera eso ...

 

No, nos vamos a aburrir en este nuevo año 2004, que promete ser muy "entretenido", con más noticias de la implementacion del TCPA "Palladium" de MICROSOFT y otros, que con la excusa de la seguridad pretenden tomar el control de nuestras máquinas, incluido el hardware, nueva BIOS mediante http://nautopia.coolfreepages.com/enlaces_libertades.htm

Esta es la fotografía a primeros del 2004, que no tiene porqué ser la misma dentro de unos meses (en Julio sería buen momento para revisar este artículo). La foto siempre se está moviendo, lo que hoy es válido no tiene porqué serlo mañana.

 

En seguridad la búsqueda de la excelencia ha de ser nuestra guía, algo que está reñido con el conformismo, la comodidad y la ley del mínimo esfuerzo (práctica cada vez más extendida).

INTERNET va a estar siempre en nuestras vidas, nos guste o no, así que dediquemos un tiempo en aprender al respecto ¿O hemos de esperar a escarmentar en carne propia? Si la red es fuente de conocimiento, utilicémosla. La información está al alcance de todos, mas ha de buscarse, leer y pensar (actividades en desuso).

 

Pues en el deseo de que estas recomendaciones os ayuden a navegar con mas seguridad, os dejamos con los nunca suficientemente repetidos consejos de José Luis López sobre higiene y comportamiento ante la pc.