Cdigo: GINF-G-009

SUPERINTENDENCIA DE SOCIEDADES
SISTEMA GESTIN INTEGRADO
Fecha: 14-07-2010

PROCESO DE GESTION DE INFRAESTRUCTURA Y

Versin: 001
LOGISTICA
GUIA: RECOMENDACIONES DE SEGURIDAD
INFRAESTRUCTURA TECNOLOGICA
Nmero de pgina 1 de 9

RECOMENDACIONES DE SEGURIDAD
INFRAESTRUCTURA TECNOLGICA
 Cdigo: GINF-G-009
SUPERINTENDENCIA DE SOCIEDADES
SISTEMA GESTIN INTEGRADO
Fecha: 14-07-2010

PROCESO DE GESTION DE INFRAESTRUCTURA Y

Versin: 001
LOGISTICA
GUIA: RECOMENDACIONES DE SEGURIDAD
INFRAESTRUCTURA TECNOLOGICA
Nmero de pgina 2 de 9

1. OBJETIVO: Esta Gua tiene como fin dar recomendaciones sobre algunos parmetros de seguridad que se
pueden tomar frente a la plataforma tecnolgica garantizando as su optimo funcionamiento.

2. ACTIVIDADES

2.1. BASES DE DATOS

Parmetro o Componente Descripcin

Puertos Bases de Datos
Filtrado de puertos por un firewall
Acceso va Internet
De ser posible, cambie los puertos predeterminados
utilizados por el motor de Base de Datos. En caso de
realizar este cambio, debera modificar la
configuracin de los aplicativos que tienen acceso a
la base de datos para reflejar el ajuste de puerto.
Todos los puertos TCP y UDP utilizados por el motor
de Base de Datos deben ser filtrados por un firewall
(de host y/o de red) para que nicamente permita el
acceso a este recurso a los equipos autorizados.
Debera existir un Firewall entre los servidores de
Base de Datos y el servicio de Internet. En un
ambiente multi-tier, deben utilizarse mltiples Firewall
en configuracin doble bastin para crear subredes
ms seguras.

2.1.1. AUDITORA

Parmetro o Descripcin
Componente
Se debera definir un periodo de retencin de logs (sugerido 3
meses) para asegurar la trazabilidad y evitar la repudiacin de
eventos.
Poltica de Logs de
Los logs deben redireccionar preferentemente a un servidor de
Auditora
logs.
Los Logs de auditora generados por los equipos deben ser
protegidos contra acceso no autorizado
Se deben registrar los eventos de ingresos exitosos y fallidos.
Los logs de auditora de las Bases de Datos deben estar
Auditoria de eventos habilitados y configurados de manera que registre eventos
relevantes de seguridad, entre ellos la creacin, modificacin
y eliminacin de grupos, usuarios y/o permisos.
 Cdigo: GINF-G-009
SUPERINTENDENCIA DE SOCIEDADES
SISTEMA GESTIN INTEGRADO
Fecha: 14-07-2010

PROCESO DE GESTION DE INFRAESTRUCTURA Y

Versin: 001
LOGISTICA
GUIA: RECOMENDACIONES DE SEGURIDAD
INFRAESTRUCTURA TECNOLOGICA
Nmero de pgina 3 de 9

2.1.2. POLTICAS DE CUENTAS

Parmetro o Descripcin
Componente
Renombre la cuenta de administrador local de Base de Datos (por
Cuentas ejemplo, sa, root) y eliminar las cuentas predeterminadas
instaladas por el motor de Base de Datos
Se debera prevenir el acceso no autorizado a tablas, cluster y
Tablas y vistas
vistas que contengan informacin de la arquitectura y
administracin del motor de Base de Datos.

2.1.3. CONFIGURACIN

Parmetro o Componente Descripcin

Los servidores de prueba y desarrollo pueden estar en un
segmento de red diferente de los servidores de produccin.
Servidores de desarrollo
Podran estar definidos como instancias de pruebas o
desarrollo, independiente de la instancia de produccin.

Instale el servidor de Base de Datos en un Servidor donde no

Servidor Dedicado se proporcionen servicios adicionales como servicios Web o
servicios de correo.
Se debera evaluar la aplicabilidad de instalar parches y
hotfixes en el servidor Bases de Datos. En algunos casos la
aplicacin de tales parches no ser posible debido a
Parches y hotfixes requerimientos especficos de funcionamiento de las
aplicaciones instaladas. En estos casos, se debern evaluar
soluciones alternativas para mitigar los riesgos generados por
la no instalacin.
Cree volmenes o particiones de disco separando los
Particiones Separadas
archivos de programa del motor de Base de Datos y los datos.
Aplicativo de demostracin o Elimine o cambie de ubicacin los archivos predefinidos como
manuales del aplicativo archivos de demostracin y manuales.
Evale la aplicabilidad de eliminar o remover las herramientas
Herramientas de edicin del
y/o aplicaciones que permiten la edicin de registro del
registro del sistema.
sistema en el servidor de Base de Datos.
 Cdigo: GINF-G-009
SUPERINTENDENCIA DE SOCIEDADES
SISTEMA GESTIN INTEGRADO
Fecha: 14-07-2010

PROCESO DE GESTION DE INFRAESTRUCTURA Y

Versin: 001
LOGISTICA
GUIA: RECOMENDACIONES DE SEGURIDAD
INFRAESTRUCTURA TECNOLOGICA
Nmero de pgina 4 de 9

2.2. RECOMENDACIONES PARA SISTEMA OPERATIVO

Parmetro o Componente Descripcin

NetMeeting Remote Desktop Sharing Esta vulnerabilidad permite a un usuario malicioso
evitar el correcto funcionamiento de los servicios de
Netmeeting y consumir el 100 % de los recursos de
la CPU durante un ataque, por lo tanto, este
servicio no debera operar en ninguno de los
Servidores.
Network News Transport Protocol El servicio del NNTP permite que un servidor de IIS
(NNTP) reciba discusiones del grupo de noticias. Las
discusiones se pueden recibir localmente, o se
pueden remitir a los clientes de los servidores de
noticias externos. La mayora de los clientes
populares del correo incluyen a lector de noticias.
Este servicio debera estar deshabilitado en los
servidores.
Configuracin de servicios del sistema Se debera tratar siempre de deshabilitar todos
aquellos servicios que no vayan a prestar una
funcionalidad necesaria para el funcionamiento del
sistema.
Los siguientes servicios deberan ser deshabilitados:
Echo, Discard, Daytime, Qotd, Chargen, Telnet
(usar SSH si es necesario), Alerter, Messenger.

Se debera evaluar la necesidad de tener los

Servicios inseguros que debera ser siguientes servicios deshabilitados si no son
deshabilitados absolutamente necesarios:
IIS Admin Service, IIS Extensiones IDA y ISAPI,
FTP (preferentemente usar SCP), POP, SNMP (si es
necesario utilizar V3), SMTP. Finger, Sysstat,
Daytime, Netstat, Who, Rbootd, Rstat, Rwall, Ruser,
Bootps, Rexd, Pcnfs, Sprayd, Tftp.
Servicios de comandos Se deberan deshabilitar los siguientes comandos:
remotos inseguros: rexec, rshell, rlogin, rusers, rsh, rpc.

2.2.1. AUDITORA

Parmetro o Componente Descripcin

Auditoria de eventos
logueos de cuentas.
Auditoria de Policy Change.
Auditar el uso de Privilegios
Auditoria de System Events.
Poltica de Logs de Auditora
de
La auditoria de eventos debera habilitarse.
La auditoria de Policy Change debera habilitarse.
La auditoria del uso de privilegios debera habilitarse
La auditoria de System Events debera habilitarse.
Se debera registrar los eventos que ofrecen informacin
adicional a los administradores sobre sucesos exitosos y
fallidos en el sistema.
 Cdigo: GINF-G-009
SUPERINTENDENCIA DE SOCIEDADES
SISTEMA GESTIN INTEGRADO
Fecha: 14-07-2010

PROCESO DE GESTION DE INFRAESTRUCTURA Y

Versin: 001
LOGISTICA
GUIA: RECOMENDACIONES DE SEGURIDAD
INFRAESTRUCTURA TECNOLOGICA
Nmero de pgina 5 de 9

Parmetro o Componente Descripcin

Se debera definir un periodo de retencin de logs
(sugerido 3 meses) para asegurar la trazabilidad y evitar la
repudiacin de eventos.
Los logs debera redireccionar preferentemente a un
servidor de logs.
Los Logs de auditora generados por los equipos debera
ser protegidos contra acceso no autorizado

2.2.2. POLTICAS DE CUENTAS

Parmetro o Descripcin
Componente
Tiempo mnimo de Esta caracterstica evita el re-uso de passwords por parte de los
validez del password usuarios, al obligarlos a utilizar un password por un determinado
tiempo antes de poder cambiarlo, se recomienda 1 da.
Tiempo mximo de El tiempo mximo de validez del password debera ser de 90
validez del password das.
Tamao mnimo del La longitud mnima de los passwords, debera ser al menos de 8
pasword. caracteres.
Complejidad de
La complejidad de password debera habilitarse
password
Historial de las
El historial de contraseas debera cambiarse al valor de 24.
Contraseas
Almacenar Contraseas. El almacenar Contraseas debera estar habilitado.
Duracin de bloqueo de La duracin de bloqueo de la cuenta en caso de errores
cuenta sucesivos al intentar ingresar debera estar en 15 minutos.
Umbral de bloqueos de El Umbral de errores sucesivos al intentar ingresar debera estar
cuenta en 3 u 8 Intentos.

2.2.3. PARMETROS DE SEGURIDAD

Parmetro o Descripcin
Componente
La cuenta Administrador e Invitado deberan ser renombradas
Cuenta Administrador
para dificultar la accin de un atacante que quiera realizar un
e Invitado
ataque de fuerza bruta para encontrar las contraseas.
Identifique y configure los accesos permitidos mediante usuario
Permisos de usuario
annimo, estos permisos debera revisarse muy cuidadosamente
conexiones annimas
para verificar que cumplan con las necesidades de seguridad.
Identifique y configure los accesos a recursos compartidos a
travs de autenticacin, estos permisos debera revisarse muy
Recursos compartidos
cuidadosamente para verificar que cumplan con las necesidades
de seguridad.
Permisos de archivos Se debera identificar y definir los permisos nicamente a los
administrador del usuarios administrador, SYSTEM, root, bin, sys, adm, sysadmin
 Cdigo: GINF-G-009
SUPERINTENDENCIA DE SOCIEDADES
SISTEMA GESTIN INTEGRADO
Fecha: 14-07-2010

PROCESO DE GESTION DE INFRAESTRUCTURA Y

Versin: 001
LOGISTICA
GUIA: RECOMENDACIONES DE SEGURIDAD
INFRAESTRUCTURA TECNOLOGICA
Nmero de pgina 6 de 9

Parmetro o Descripcin
Componente
sistema sobre los siguientes archivos:

at.exe, attrib.exe, cacls.exe, debug.exe, drwatson.exe, sc.exe,

drwtsn32.exe, edlin.exe, eventcreate.exe, net.exe, runas.exe,
eventtriggers.exe, ftp.exe, net1.exe, netsh.exe, rcp.exe,
reg.exe, regedit.exe, regedt32.exe, regsvr32.exe, rexec.exe,
rsh.exe, subst.exe, telnet.exe, tftp.exe, tlntsvr.exe.

etc, bin, usr/sbin, usr/bin, usr/etc.

Sistemas Operativos y
aplicaciones sin Realizar un monitoreo permanente y filtrar el trafico de acceso al
contratos de soporte, equipo y/o aplicaciones con el objetivo de minimizar la
desactualizados, no materializacin o explotacin de vulnerabilidades y/o aislar el
parchados, o sin equipo en una zona de seguridad como una zona militarizada o
respaldo por parte del una zona desmilitarizada previo estudio de necesidades
fabricante
 Cdigo: GINF-G-009
SUPERINTENDENCIA DE SOCIEDADES
SISTEMA GESTIN INTEGRADO
Fecha: 14-07-2010

PROCESO DE GESTION DE INFRAESTRUCTURA Y

Versin: 001
LOGISTICA
GUIA: RECOMENDACIONES DE SEGURIDAD
INFRAESTRUCTURA TECNOLOGICA
Nmero de pgina 7 de 9

2.3. REDES Y COMUNICACIONES

Parmetro o Componente Descripcin

Servicios inseguros que deben ser Eliminar, si no son necesarios: telnet (si es
deshabilitados requerido el acceso remoto se sugiere usar ssh),
Bootp, Finger, TFtp (a menos que sea estrictamente
necesario para generar copias de seguridad)
Servicios del router y switch que SNMP, HTTP, FTP (si no son requeridos deben ser
deben ser protegidos de accesos no deshabilitados estos servicios. Si son requeridos, se
permitidos deben configurar para ser habilitados solamente por
IPs autorizados y/o autenticndose a travs de
nombre de usuario y contrasea)
Cambie los puertos predeterminados utilizados por
Puertos predeterminados
los servicios como HTTP.
El trfico de administracin remota de
router/switch/firewall/access point debera ser
Encripcin
intercambiado a travs de cifrado (HTTPS, SSH) u
otros mtodos.
El acceso remoto a sistemas externos desde el
router/switch/firewall/access point debera estar
Servicio remoto prohibido. De la misma forma el acceso remoto de
estos equipos, desde redes diferentes a la LAN se
debera desahabilitar.

2.3.1. AUDITORA

Parmetro o Descripcin
Componente
Se debera definir un periodo de retencin de logs (sugerido 3
meses) para asegurar la trazabilidad y evitar la repudiacin de
eventos.
Poltica de Logs de
Los logs deben redireccionar preferentemente a un servidor de
Auditora
logs.
Los Logs de auditora generados por los equipos deben ser
protegidos contra acceso no autorizado
Se deben registrar los eventos de ingresos exitosos y fallidos.
La auditora de router/switch/firewall/access point debera
Auditoria de eventos
estar habilitada y configurada de manera que registre eventos
relevantes de seguridad al Cisco MARS.
 Cdigo: GINF-G-009
SUPERINTENDENCIA DE SOCIEDADES
SISTEMA GESTIN INTEGRADO
Fecha: 14-07-2010

PROCESO DE GESTION DE INFRAESTRUCTURA Y

Versin: 001
LOGISTICA
GUIA: RECOMENDACIONES DE SEGURIDAD
INFRAESTRUCTURA TECNOLOGICA
Nmero de pgina 8 de 9

2.3.2. POLTICAS DE CUENTAS

Parmetro o Descripcin
Componente
Se debera definir la duracin de Timeout para conexiones con el
Timeout
router/switch/firewall/access point y appliance
Restringir el acceso al Se debera controlar el acceso mediante el uso de passwords
router/switch/firewall/ fuertes (con adecuada complejidad y tamao), para evitar
access point solo a IPs ataques de fuerza bruta o de diccionario
autorizadas
Configuracin Modifique las contraseas predefinidas de router/switch/firewall/
predefinida de access point
router/switch/firewall/
access point
Passwords Contraseas y llaves secretas almacenadas en el
router/switch/firewall/ access point deben estar encriptadas.

2.3.3. CONFIGURACIN

Parmetro o Componente Descripcin

Copias de respaldo
Control de acceso
Misin critica
Paquetes ICMP
Fecha y hora
Actualizaciones y parches
Se debera respaldar mensualmente la configuracin de
router/switch/firewall/ access point.
Un ACL debera implementarse para impedir la accin de
troyanos y filtrar servicios en la red interna
(switch/router/firewall/access point), para evitar negacin de
servicios
El desempeo de router/switch/firewall/access point.
debera ser monitoreado peridicamente, para garantizar la
comunicacin en la red y evitar la perdida de disponibilidad.
Se sugiere realizar este monitoreo usando SNMPV3,
configurado ro (Read-Only).
La redireccin de paquetes ICMP debera estar bloqueada en
router/switch/firewall/access point.
El reloj interno y fecha de router/switch/firewall/access point,
debera estar configurada apropiadamente (segn la hora
oficial colombiana Superintencia de Industria y Comercio)
para ser utilizada en los registros de auditoria.
Se deben mantener al da las actualizaciones y parches en
router/switch/firewall/access point.
 Cdigo: GINF-G-009
SUPERINTENDENCIA DE SOCIEDADES
SISTEMA GESTIN INTEGRADO
Fecha: 14-07-2010

PROCESO DE GESTION DE INFRAESTRUCTURA Y

Versin: 001
LOGISTICA
GUIA: RECOMENDACIONES DE SEGURIDAD
INFRAESTRUCTURA TECNOLOGICA
Nmero de pgina 9 de 9

3. BIBLIOGRAFA

- The Center for Internet Security http://www.cisecurity.org/

- The SANS Institute http://www.sans.org/
- National Security Agency (NSA) Security Configuration Guidelines -
http://www.nsa.gov/SNAC/

Elaboro : Profesional direccin Informtica Reviso: Profesional Director de Informtica Aprob: Director de Informtica
Fecha : 01-07-2010 Fecha : 5-07-2010 Fecha : 14-07-2010