A lo largo de mi carrera he realizado una gran cantidad de evaluaciones/auditorias a servidores de mis clientes y he observado un patrón común en la debilidades de configuración de los servidores, que vale la pena resaltar.
Los 4 errores de configuración más comunes que he observado son los siguientes:
-
Tamaño insuficiente de los log
-
servicios innecesarios activos
-
Protección débil de contraseña
-
Usuarios genérico de máximos privilegios
En el resto de este artículo, revisaremos cada una de las debilidades encontradas.
1. Tamaños insuficiente de los log.
La configuración de los tamaños de los log, normalmente, se deja de forma predeterminada. Aunque esto no representa un riesgo para la seguridad del servidor, el riesgo de esta mala configuración se hace evidente cuando se produce un compromiso del sistema, una respuesta a incidente y análisis forenses.
Con las configuración y tamaños de los registros predeterminado, la información potencialmente útil podría perderse o sobrescribirse por falta de espacio, lo que dificultaría determinar la magnitud del eventos de seguridad.
Mi recomendación: revisa la configuración del tamaño de los log de tu servidor. Dependiendo del tipo de servicio que presta será el tamaño de cada uno de los logs. También pudieras tener un servidor de log centralizado y así tener cada servidor dedicado a la tarea que les corresponde.
2. Servicios innecesarios activos.
Todos los Sistemas Operativos (SO) al momento de su instalación vienen una serie de servicios activos por defecto, lo cual es una pérdida valiosa de recursos de sistemas. Desde el punto de vista de seguridad esto es permitir aumentar el rango de ataque de un servidor para un atacante. Que no exista una vulnerabilidad conocida, al momento de la instalación, no significa que no pudieran existir en el futuro. También estos servicios le sirven a un atacante identificar la versión de SO que se está utilizando y para que suplante servicios del sistema con determinados RootKits.
Mi recomendación: haz un listado de todos los servicios que están corriendo en tu servidor y desactiva (y de ser posible desinstala) aquello que no están relacionados con el servicio que presta ese equipo.
3. Protección débil de contraseña
Si nuestro servido se autentica a través de «Active Directory» u «OpenLDAP», normalmente, estas herramientas dictan las pautas para la creación, bloqueo y vencimiento de contraseñas, sin embargo no todos los servidores están adheridos a un dominio y todos sabemos que las reglas de creación que traen por defecto los SO de servidores no son muy fuertes. Al tener una gestión de contraseñas débiles estamos expuesto a que se comprometan nuestras contraseñas y en consecuencias nuestros servidores.
Mi recomendación: lo ideal es tener un servidor de dominio que establezca unas reglas de contraseñas fuertes, sin embargo, si no contamos con unos, hay formas de configurar estas reglas de forma local en cada uno de nuestros servidores.
4. Usuarios genéricos de máximos privilegios.
Los SO de los servidores, usualmente, traen un superusuario genérico («Administrador» o «root»). El problema con estos usuarios es que todos los administradores de servidores de esa organización utilizan el mismo usuario, el problema viene cuando hay que identificar quien hizo qué en estos equipos o si se compromete la contraseña de este.
Mi recomendación: si es necesario tener varios usuarios con privilegios de administrador, es preferible crear cada uno de estos de forma personalizada. Debido a que en la mayoría de los casos no podemos borrar a este usuario genérico, es preferible crearle una contraseña extremadamente fuerte y extensa; y guardarla en un sobre, de manera que solo se podrá acceder a los mismos sólo en caso de emergencias.
¿Qué otras debilidades en la configuración por defecto de los servidores conoces? Déjalo en los comentarios…
Puedes seguirme en Twitter o en LinkedIn, donde comparto mis proyectos, experiencias y próximos eventos en los que estaré participando.
Gracias por leerme y hasta la próxima.
