Recomendaciones para la seguridad en redes de Gobierno
Se recomienda a los encargados técnicos de los Ministerios y Servicios seguir las siguientes recomendaciones para garantizar la seguridad de las redes bajo su responsabilidad.
Cabe señalar que deben tomarse precauciones para defender sus propias redes y también para evitar ser usados como punto de paso para actividades maliciosas que puedan afectar a otras redes. Por ejemplo:
Configurar servidores de correo para que no sean usados como relay (usar protecciones anti-spam).
No realizar actividades tipo snmp, portscan o auditoría sobre redes de las que no sea el administrador responsable.
Verficar que sus respectivos servidores de nombre DNS, servidorer Web estén bien configurados y no sean vulneables.
Aplicar reglas restrictivas de salida en firewalls para evitar que estaciones internas contaminadas generen tráfico anormal o abusivo.
Revisar que el nivel de tráfico de sus respectivas redes se ajuste a actividades normales (evitar uso y abuso de p2p).
Sin entrar en detalles específicos acerca de las plataformas y cómo estas deben ser protegidas para minimizar el riego de ataques, se les recomiendas a los encargados de los Ministerios/Servicios seguir esta metodología como una forma básica de defensa ante posibles ataques o intentos de intromisión en sus respectivas redes. Esta información se estará actualizando frecuentemente y está basada en las recomendaciones del CERT.
1. Cada Ministerio o Servicio debe definir una política de seguridad
Los objetivos de esta política deben ser:
Preparar y prevenir: Identificar los puntos de riesgo, adoptar criterios de instalación y configuración que permitan minimizar la posibilidad de éxito de un ataque.
Detectar y responder: Identificar la fuente de ataque, contener, recuperar y reconstruir en la forma más rápida posible los sistemas afectados.
Construir Base Legal: Construir normativas permitan garantizar a los ciudadanos la integridad de la información que los Ministerios y Servicios entregan usando INTERNET, y que además permita perseguir a quienes intenten alterar en cualquier forma el normal desempeño de las redes y servidores de Gobierno.
2. Elementos de la política de seguridad de redes
2.1 Elaboración de un plan básico y acciones a seguir
Proteger la red y sus componentes
Definir procedimientos ante incidentes o ataques
Detectar incidentes o ataques
Recuperación ante incidentes o ataques
Mejorar y actualizar los procedimientos de seguridad
2.2 Relación con Proveedores
Verificar competencia de los proveedores de tecnología
Solicitar a proveedor que realice configuración de aplicación/servicio para operar en forma segura
Si es necesaria la administración remota debe usar un mecanismo seguro
Controlar acceso de proveedor externo a sus redes
Revisar configuraciones por cambios no informados
Revisar sistemas por actividades no informadas
Vigilar la habilidad del proveedor
En régimen permanente eliminar el acceso del proveedor a las redes
2.3 Proteger la red y componentes
Asegurar los equipos que presten funciones como servidores.
Plan de instalación y configuración que incluya la seguridad en todas sus fases
Incluir requerimientos explícitos de seguridad en la selecciones de servidores
Mantener SO y aplicaciones actualizadas
Sólo ofrecer servicios esenciales y seguros
Forzar la identificación de los usuarios en todos los niveles
Configurar SO de servidores con control de acceso a servicios, objetos y archivos
Configurar sistemas de respaldos de información
Proteger contra virus y programas corruptos
Configurar acceso remoto seguro
Restringir el acceso sólo a personal autorizado
2.4 Asegurar estaciones de trabajo
Plan de trabajo (instalación y configuración) que incluya la seguridad en todas sus fases
Incluir requerimientos explícitos de seguridad en la selecciones de equipos
Mantener SO y aplicaciones actualizadas
Sólo tener instalados los servicios esenciales
Forzar la identificación de los usuarios en todos los niveles
Configurar SO con control de acceso a servicios, objetos y archivos propios y de red.
Configurar sistemas de respaldos de información local y remoto
Proteger contra virus y programas corruptos
Configurar acceso remoto seguro
Restringir el acceso sólo a personal autorizado
Configurar múltiples estaciones de acuerdo a un modelo de seguridad y replicar en forma automática
Usar mecanismos de configuración, replicación y cumplimiento de políticas seguros
Desarrollar y difundir una política de uso adecuado de las estaciones de trabajo y recursos
2.5 Asegurar servidores web públicos
Aislar servidores Web de las redes internas
Configurar servidores Web con políticas de control de acceso a recursos, dispositivos y archivos
Identificar y activar logs específicos para el servidores Web siempre
Revisar implicaciones de seguridad de los programas y aplicaciones a usar en el sitio Web, probar en laboratorio
Revisar las implicaciones en seguridad de los programas y aplicaciones a usar, probar en laboratorio
Configurar autentificación de usuarios usando encriptación fuerte
Mantener una copia de los contenidos del sitio Web en otro servidor de respaldo
Configurar servidor Web para defenderse autónomamente de ataques más comunes
2.6 Uso de firewalls
Especificar HW y SW para Firewall
Obtener documentación acabada de sistema
Contratar capacitación y soporte de administradores
Configurar políticas:
Routing
Filtro de paquetes
Log de eventos
Hacer testing de las políticas instaladas
Instalar en redundancia
Explotación
3. Procedimientos ante incidentes o ataques
3.1 Métodos para identificar un incidente o ataque
Identificar los datos que caracterizan a un sistema y que permiten determinar si ha sido afectado
Administrar logs y reporte de eventos
Formas de respuesta ante un ataque
Políticas y procedimientos claros, que hacer, a quien contactar
3.2 Respuesta a un ataque
Revisar si se han comprometido los sistemas de detección (IDS)
Revisar si hay actividades anormales en la red
Revisar si hay actividades anormales en los sistemas
Revisar si hay archivos comprometidos
Revisar si hubo acceso físico no autorizado
Investigar si hay dispositivos no autorizados en la red
Revisar reportes y logs
Tomar acciones en caso de detectar actividad anormal o sospechosa
3.3 Recuperación ante ataques
Analizar toda la información para identificar el tipo de ataque
Comunicarse con todas las partes interesadas y afectadas informando acerca del ataque
Guardar la información relacionada con el ataque
Reponer servicio
4. Mejorar procedimientos
Tomar acciones cuando se detecta un ataque
Corregir y actualizar procedimientos
Revisar las políticas de seguridad y repetir el ciclo
5. Política de Restricciones o filtros
Los Ministerios y servicios deberán cautelar por que sus actividades no generen perturbaciones o ataques a otras redes.
El Ministerio del Interior aplicará restricciones en ancho de banda o filtrará todos los servicios o aplicaciones que puedan amenazar la estabilidad de la red.
Cada Ministerio o servicio debe vigilar que el nivel de tráfico que genera se deba a actividades normales. Para esto puede usar las gráficas de uso de la red queestán disponibles en este sitio.
Las redes que se conectan deben pertenecer a la red 163.247. Los Ministerios y Servicios deben ocupar NAT y Firewall en caso de tener redes internas privadas u otras redes. No se ruteará internamente a conexiones a otras redes distintas de la 163.247. Todo el tráfico entrante debe tener como destino la red 163.247 y todo tráfico saliente debe tener como origen la red 163.247.
Los Ministerios y Servicios públicos deben tomar medidas para evitar el uso de aplicaciones peer-to-peer (p2p) de cualquier tipo por parte de sus usuarios. El uso de este tipo de aplicaciones impacta en el ancho de banda y compromete el prestigio de la organización y las redes de gobierno, al exponerlas a demandas de terceros por violación de derechos de autor. El Ministerio del Interior limitará el ancho de banda o aplicará filtros sobre las direcciones IP que sean detectadas participando en redes p2p, en caso de congestión u otras situaciones anormales.
Gobierno de Chile
Ministerio del Interior - División Informática