SEGURIDAD EN SITIOS WEB

SEGURIDAD EN SITIOS WEB

Introducción

Al confiar los datos personales en un sitio web, es probable que se expongan a un sin número de peligros, por ello es de vital importancia que los desarrolladores implementen mecanismos que protejan y reduzcan los riesgos de seguridad alojados, distribuidos y potencializados a través del mismo servicio de Internet.  

Desarrollo

La seguridad es un elemento de primer nivel que entra en juego desde la concepción inicial de un sistema y participa desde un principio en las decisiones de diseño.

Los requisitos de seguridad deben considerarse explícitamente durante todo el proceso de desarrollo, lo que da lugar a las inclusiones de fases o actividad dedicadas a la seguridad.

Amenazas contra la seguridad del Servidor

La seguridad del servidor es tan importante como la seguridad de la red, ya que los servidores con frecuencia retienen gran parte de la información vital de una determinada organización. Si el servidor es vulnerado, todos sus contenidos pueden quedar a disposición del atacante para ser sustraídos o manipulados en su totalidad. Las secciones siguientes hacen referencia a los problemas principales.

 Backups en Sitios Web

Toda buena estrategia de respaldo de información debe estar compuesta por al menos de cuatro elementos:

o   Respaldo

o   Almacenamiento de los respaldos

o   Verificación o validación de los respaldos

o   Restauración

Encriptación y Certificados Digitales

Es la certificación electrónica que vincula unos datos de verificación de firma a un signatario y confirma su identidad. Los Prestadores de Servicios de Certificación certifican que quien firma un documento electrónico, utiliza realmente las claves de quien dice ser, para lo cual han generado previamente la clave pública y privada del firmante, y le han identificado.

Los Certificados Digitales SSL (Secure Sockets Layer) son herramientas de Seguridad Electrónica que funcionan mediante el cifrado de información con potencia de hasta 256 bits y la estricta autentificación de las Organizaciones y sus sitios web por un Tercero de Confianza o Autoridad Certificadora. Los Certificados Digitales SSL están diseñados para inspirar confianza en los clientes y visitantes de los sitios web y, en consecuencia, aumentar sus transacciones en línea.

Métodos de suplantación en el Internet

La suplantación de identidad en línea, o phishing (pronunciado como la palabra inglesa fishing), es una forma de engañar a los usuarios para que revelen información personal o financiera mediante un mensaje de correo electrónico o sitio web fraudulento. Normalmente, una estafa por suplantación de identidad empieza con un mensaje de correo electrónico que parece un comunicado oficial de una fuente de confianza, como un banco, una compañía de tarjeta de crédito o un comerciante en línea reconocido. En el mensaje de correo electrónico, se dirige a los destinatarios a un sitio web fraudulento, donde se les pide que proporcionen sus datos personales, como un número de cuenta o una contraseña. Después, esta información se usa para el robo de identidad.

Conclusión

Es de vital importancia que tanto los desarrolladores como el usuario final, tomen en consideración los diversos ataques cibernéticos a los que se ven expuestos al compartir datos personales en un sitio web, tomar las precauciones necesarias puesto que si el servidor es vulnerado, todos sus contenidos pueden quedar a disposición del atacante para ser sustraídos o manipulados en su totalidad.

Bibliografía

Qué hacer ante un ataque. Disponible en: http://www.e-securing.com/novedad.aspx?id=67

MARKETING DIGITAL

MARKETING DIGITAL

Introducción 

El marketing ha evolucionado tan rápido como la sociedad en los últimos años, y un nuevo paradigma ha generado el cambio de marketing tradicional o convencional al nuevo marketing o marketing digital.

El principal cambio de este nuevo mundo digital es que podemos estar conectados en todo momento y en cualquier lugar, promocionando servicios, o productos.

DESARROLLO

El Marketing Digital consiste en usar las tecnologías de la información basadas en Internet y todos los dispositivos que permitan su acceso para realizar comunicación, con intención comercial entre una empresa y sus clientes o potenciales clientes.

Marketing digital se define como  la aplicación de tecnologías digitales para contribuir a las actividades de Marketing dirigidas a lograr la adquisición de rentabilidad y retención de clientes, a través del reconocimiento de la importancia estratégica de las tecnologías digitales y del desarrollo de un enfoque planificado, para mejorar el conocimiento del cliente, la entrega de comunicación integrada específica y los servicios en línea que coincidan con sus particulares necesidades.

El Marketing digital comenzó con la creación de páginas web, como canal de  promoción de productos o servicios, pero con el avance tecnológico y las nuevas herramientas disponibles, sobre todo para gestionar y analizar datos recolectados de los consumidores, el Marketing digital ha tomado nuevas  dimensiones, convirtiéndose en una herramienta indispensable para las empresas actuales.

Si bien el Marketing digital en su mayor parte engloba muchas actividades que caen bajo el concepto de Internet Marketing, porque utilizan canales online, es importante destacar que también utiliza medios que no son exclusivamente online, como los mensajes SMS en celulares.

Para efectos de este análisis consideraremos las actividades de Internet Marketing, que como dijimos constituyen la mayor parte de lo que se conoce como Marketing digital.

Además, las tecnologías están convergiendo cada vez más hacia Internet, por lo que es probable que en un futuro no muy lejano se hable de Marketing digital como sinónimo de Internet Marketing.

Las principales herramientas en marketing digital que dispone una empresa son:

Web 2.0, Posicionamiento en Google y Webanalytics: una página web bien diseñada acorde a estándares del Worldwide Web Consortium (W3C), con buenos criterios de usabilidad, un buen posicionamiento en

Google mediante técnicas de Search Engine Optimization) y con un sistema de métricas que permite ver los resultados de donde y como los usuarios de internet están usando la web de su empresa, es la base de la transformación de una página web a una plataforma comercial.

Email marketing de permiso: esta herramienta es la que posee el mayor retorno sobre la inversión que cualquier herramienta de marketing con un ROI de 43.5 (DMA 2010). Permite llegar de manera instantánea a mi base de contactos, difundir información, fidelizar clientes, generar branding, coordinar eventos, todo orientado a dos objetivos principales: Retención y generación de clientes.

Redes sociales: herramientas como Facebook para empresas, Linkedin, Slideshare, Foursquare y otras son plataformas en redes sociales que le permitirán Incrementar sus redes con clientes, potenciales clientes, proveedores y seguidores guiando a la generación de mayores oportunidades de negocios.

Google Adwords: es una de las herramientas más eficaces que existen para que profesionales o clientes que justo están buscando sus productos o servicios encuentren a su empresa en internet.

Posicionamiento Web basado en SEO

SEO (Search Engine Optimizacion – Posicionamiento orgánico o Gratuito), es una estrategia para el posicionamiento en buscadores web, indispensables hoy en día en el mundo de la Internet.

El SEO, más conocido como optimización en motores de búsqueda, se refiere a un conjunto de prácticas y técnicas utilizadas para otorgarle un posicionamiento más alto a su sitio web al momento de ser indexado por los principales motores de búsqueda. El SEO es gratuito en términos de que no hay que destinar un presupuesto para ello y no implica un costo que se deba pagar a Google, Bing o Yahoo. El SEO, en cambio, demanda recursos técnicos y especializados de profesionales que puedan proveer los servicios y las herramientas indicadas para que su portal web ocupe los primeros lugares toda vez que un usuario digite o busque información relacionada con los servicios y/ o productos ofrecidos por su negocio (Mipymeshost). 

Sistemas de Transacciones en Efectivo sobre la web

Es el conjunto de: operaciones, mecanismos, procedimientos y normativas que facilitan los flujos, almacenamiento y transferencias en tiempo real, entre los distintos agentes económicos, a través del uso de: dispositivos electrónicos, electromecánicos, móviles, tarjetas inteligentes y otros que se incorporen producto del avance tecnológico.

Conclusión

Con el avance de la tecnología el mundo empresarial ha optado por contar con medios de comunicación más efectivos como el internet con el fin de llegar a nuevos clientes de todo tipo de edades y de cualquier lugar del mundo, ya sea adquiriendo páginas web, a través de las redes sociales, blogs, etc, volviéndose la publicidad en el internet cada vez más popular y aceptada tanto por los clientes como por las empresas.

Bibliografía

Cangas, J., Guzmán M. 2010. Marketing Digital: Tendencias En Su Apoyo Al E-Commerce Y Sugerencias De Implementación. UNIVERSIDAD DE CHILE Facultad de Economía y Negocios Escuela de Economía y Administración.

Mancera, J. 2013. La era del marketing digital y las estrategias publicitarias en Colombia

CMS

CMS

Introducción

Un sistema de gestión de contenido es una página web con algunas funciones de publicación, que tiene una interfaz administrativa permitiendo al administrador del sitio crear u organizar distintos documentos, adecuándolo según sus necesidades, pudiéndolo modificar más fácilmente en el futuro y eliminado en gran medida el conocimiento vital de la programación.

 Desarrollo

Un sistema de gestión de contenidos (Content Management Systems o CMS) es un software que se utiliza principalmente para facilitar la gestión de webs, ya sea en Internet o en una intranet, y por eso también son conocidos como gestores de contenido web (Web Content Management o WCM). Hay que tener en cuenta, sin embargo, que la aplicación de los CMS no se limita sólo a las webs.

Funciones esenciales

• Un CMS debe permitirnos desarrollar cuatro funciones esenciales :

• Creación de contenido

• Gestión de contenido

• Publicación

• Presentación

Utilidad

• La utilidad de un CMS radica en los siguientes aspectos:

• Inclusión de nuevas funcionalidades en el web.

• Mantenimiento de gran cantidad de páginas.

• Reutilización de objetos o componentes.

• Páginas interactivas.

• Cambios del aspecto de la web.

• Consistencia de la web.

• Control de acceso. 

Despliegue de un Sistema de  Administración de Contenidos

Los administradores de contenidos son plataformas que nos permiten administrar el contenido y el diseño. Estos CMS son compatibles con un gran número de servidores de base de datos, donde la información y configuración será almacenada.

Despliegue de componentes de ecommerce

E-commerce o Comercio Electrónico consiste en la distribución, venta, compra, marketing y suministro de información de productos o servicios a través de Internet. Conscientes de estar a la vanguardia, las Pymes no se han quedado atrás en este nuevo mercado, por lo que han hecho de los servicios de la red un lugar que permite acceder a sus productos y servicios durante las 24 horas del día.

Tipos de comercio electrónico:

Ø  B2C (Business-to-Consumer): Empresas que venden al público en general.

Ø  B2B (Business-to-Business): Empresas haciendo negocios entre ellas.

Ø  B2G (Business-to-Government): Empresas que venden a instituciones de gobierno.

Ø  C2C (Consumer-to-Consumer): Plataforma a partir de la cual los consumidores compran y venden entre ellos.

Elementos del comercio electrónico

Ø  Claridad en el Modelo de Negocio

Ø  Base de datos

Ø  Plataforma de la aplicación

Ø  Arquitectura tecnológica

Ø  Sistema de información

Ø  Convenios y medios de pago

Ø  Seguridad en e-commerce

Ø Carrito de compras

Políticas de Seguridad en CMS

Entre las medidas de seguridad más elementales a tener en cuenta están las siguientes:

Elección de un CMS con una comunidad que lo soporte. Un equipo de desarrolladores activo siempre tendrá más posibilidades de solucionar un problema que una comunidad con baja interacción.

Escoger un servicio de alojamiento (hosting) seguro. Una empresa de alojamiento reputada siempre ofrecerá más seguridad que un servicio de hosting desconocido.

Configuración segura del servidor. Es vital establecer unos parámetros de seguridad básicos relacionados con los permisos y accesos al servidor y, por ende, a las páginas que se sirven.

Actualización de la plataforma. En la medida de lo posible, y siempre y cuando la versión del CMS escogida cubra las necesidades, se debe mantener el sistema actualizado.

Limitación en la instalación de módulos de terceros (plugins). Hay que abstenerse de instalar módulos que no hayan sido auditados y que ofrezcan un nivel de seguridad que pueda comprometer la plataforma.

Administrar correctamente el portal. Es importante implementar férreas políticas de seguridad, que no incidan negativamente en la usabilidad de la plataforma, relacionadas con los permisos de usuario y contraseñas.

Conclusión

Los CMS, son una aplicación web que facilitan la publicación de un sitio web sin tener muchos conocimientos de programación, ya que este sistema incluye la base de datos, la programación y lo único que se tiene que hacer es configurarlo y adecuarlo según las necesidades.

Gracias a la aparición de los Sistemas de Administración de Contenidos se hizo mucho más fácil la creación de sitios web, aunque este no elimina la necesidad de equipo de trabajo, la barrera que impone el conocimiento sobre programación para la web, fue superada en gran medida.

Respeto al comercio electrónico, este se encuentra en expansión gracias a los mecanismos de Internet, de carácter mundial los mismos que facilitaran la realización de ventas y compras más rápidas y sencilla, pero teniendo mucho cuidado debido a que existen riesgos en la red que  pueden perjudicar.

Bibliografía

Herrera, R. 2005.  Bibliotecas Públicas, incorporando nuevos servicios: el caso de las bitácoras institucionales. Pez de Plata: Bibliotecas Públicas a la Vanguardia.

Primo, D. 2007. Introducción a los sistemas de gestión de contenidos. http://www.slideshare.net/delineas/introduccin-a-los-sistemas-de-gestion-de-contenidos-cms/#

Serrano, J. 2007. Evolución de los sistemas de gestión de contenidos (CMS). Del mainframe al open source. El Profesional de la Información. p 213-215. 

CLOUD COMPUTING

CLOUD COMPUTING

Introducción

La computación en nube es una tecnología nueva que busca tener todos nuestros archivos e información en internet y sin depender de poseer la capacidad suficiente para almacenar información, esto explica las nuevas posibilidades de forma de negocio actual, ofreciendo servicios a través de Internet. En la cloud computing toda la información, procesos, datos, etc. se localizan dentro de la red de internet, como en una nube, así todas las personas pueden acceder a la información completa, sin poseer una gran infraestructura, representando bajo coste, seguridad, rapidez y acceso cuando quiera y donde quiera, sólo con una conexión a Internet.

Desarrollo

La computación en nube, es una tecnología que permite ofrecer servicios de computación a través de Internet. En este tipo de computación todo lo que puede ofrecer un sistema informático se ofrece como servicio, de modo que los usuarios puedan acceder a los servicios disponibles "en la nube de Internet" sin conocimientos (o, al menos sin ser expertos) en la gestión de los recursos que usan.

Según el IEEE Computer Society es un paradigma en el que la información se almacena de manera permanente en servidores en Internet y se envía a cachés temporales de cliente, lo que incluye equipos de sobremesa, centros de ocio, portátiles, etc. Esto se debe a que, pese las capacidades de las PC ha mejorado sustancialmente, gran parte de su potencia es desaprovechada, al ser máquinas de propósito general

Ventajas

Las ventajas de cloud computing parecen evidentes, al permitir a las empresas escalar rápidamente, en función de sus necesidades, sin tener que añadir equipamiento, software ni personal. A través de la “nube” (una red pública, generalmente Internet), los clientes pueden acceder bajo demanda (siguiendo el modelo de pago por uso) a un gran número de recursos informáticos asignados dinámicamente, dotándose así de una enorme capacidad de procesamiento y almacenamiento sin necesidad de instalar máquinas localmente, lo que se traduce en considerables ahorros de todo tipo, incluso de consumo energético.

En definitiva, el modelo cloud facilita a las empresas de todo tamaño y sector focalizar sus recursos en optimizar sus procesos, liberándolas del mantenimiento, actualización y amortización de grades inversiones tecnológicas en sistemas, que con frecuencia son menos eficientes y están infrautilizados dentro de cada organización.

Si bien, de entrada, parece que cloud computing está más indicado para pequeñas y medianas empresas sin grandes entornos TI y con poca capacidad de inversión, el modelo también se está abriendo a las grandes organizaciones, ya sea para soportar determinadas aplicaciones o para apoyar proyectos concretos de duración limitada. Por su naturaleza, las compañías con entornos informáticos distribuidos serán las que más aprovechen las posibilidades de cloud computing, pero también puede aportar grandes beneficios para todo tipo de organizaciones y sectores. Administración Pública, compañías privadas, Universidades y otras instituciones ya están utilizando esta tecnología, que permite sustituir las granjas de servidores por una infraestructura distribuida y basada en estándares abiertos.

Un ejemplo de esto, son conocidos casos de éxito, como los de BitCurrent y The New York Times, que recientemente alquiló el servicio de Amazon para pasar los artículos aparecidos en el diario durante las últimas décadas a PDF susceptibles de búsquedas. Un proyecto que, de haberlo emprendido internamente, hubiera tardado 14 años en completarse y que, gracias a Amazon, pudo culminar en un solo día por nada más que 240 dólares.

Desventajas

·         Se requiere una conexión permanente a Internet. La computación en nube es imposible si no se puede conectar a Internet. Dado que se utiliza Internet para conectarse a sus aplicaciones y por lo tanto a sus datos y documentos, si no tienes una conexión a Internet no podrá acceder a nada que esté en la nube. En el período que una conexión a Internet esté caida no podrá trabajar con sus aplicaciones ni acceder a sus datos, en las zonas donde las conexiones a Internet son de mala calidad o poco fiables. Cuando no estés conectado, el cloud computing, simplemente no funciona.

·         No funciona bien con conexiones de baja velocidad. Del mismo modo, una conexión a Internet de baja velocidad, tales como la que se encuentran con servicios telefónicos (modems), hace que la computación en nube sea en muchos casos imposible. Las aplicaciones basadas en Web requieren una gran cantidad de ancho de banda para descargarse, al igual que documentos de gran tamaño. En otras palabras, el cloud computing funcionará correctamente siempre que la velocidad de acceso sea suficientemente buena.

·   Algunas veces puede ser demasiado lento. Incluso con una conexión rápida, las aplicaciones basadas en web seguramente serán más lentas que aplicaciones similares instaladas en su ordenador de escritorio. Esto se basa en muchas variables de las que depende el procesamiento en la nube, por ejemplo cada actualización tiene que ser enviada de ida y vuelta desde su ordenador hacia los servidores en la nube. Si los servidores de la nube en ese momento están haciendo una copia de seguridad, o si Internet está demasiado saturado (horas punta de utilización) nunca tendrá una respuesta instantánea como suele pasar con aplicaciones de escritorio.

·      Los datos almacenados pueden no estar seguros. Con el cloud computing, todos sus datos se almacenan en la nube. ¿Qué tan segura es la nube? ¿Pueden los usuarios no autorizados acceder a sus datos confidenciales? Pueden las empresas que ofrecen servicios de computación en nube decir que sus datos esten seguros, tal vez sea demasiado pronto para poder afirmar estar completamente seguro de eso. Sólo el tiempo dirá si sus datos están seguros en la nube.

·       Teoricamente siempre existirá la posibilidad de que los datos almacenados se puedan perder. La mayoría de las empresas que brindan servicios de computación en la nube toman los recaudos suficientes para que eso no ocurra, y aseguran que así será, por ejemplo instalando, lineas de datos redundantes conectadas a firewalls físicos, sistemas de alimentación eléctrica ininterrumpidos, almacenamiento tolerantes a fallos, servicios de copias de seguridad automáticos, almacenamiento de las copias de seguridad en ambientes protegidos fisicamente (contra incendios o robos), pero no obstante, al ser medios físicos,  nunca nos darán una seguridad del 100%, no nos olvidemos de lo que dijo el famoso Murphy, todo lo que pueda fallar, fallará...

Windows Azure

La plataforma Windows Azure de Microsoft es un grupo de tecnologías cloud, y cada una proporciona un conjunto específico de servicios para los desarrolladores de aplicaciones. Windows Azure puede utilizarse a través de aplicaciones que se ejecutan en el cloud y aplicaciones internas.

Características

·     Proceso: el servicio de proceso de Windows Azure ejecuta aplicaciones basadas en Windows Server. Estas aplicaciones se pueden crear mediante .NET Framework en lenguajes como C# y Visual Basic, o implementar sin .NET en C++, Java y otros lenguajes.

·  Almacenamiento: objetos binarios grandes (blobs) proporcionan colas para la comunicación entre los componentes de las aplicaciones de Windows Azure y ofrece un tipo de tablas con un lenguaje de consulta simple.

·         Servicios de infraestructura: posibilidad de desplegar de una forma sencilla máquinas virtuales con Windows Server o con distribuciones de Linux.

·         Controlador de tejido: Windows Azure se ejecuta en un gran número de máquinas. El trabajo del controlador de tejido es combinar las máquinas en un solo centro de datos de Windows Azure formando un conjunto armónico. Los servicios de proceso y almacenamiento de Windows Azure se implementan encima de toda esta eficacia de procesamiento.

·         Red de entrega de contenido (CDN): el almacenamiento en caché de los datos a los que se accede frecuentemente cerca de sus usuarios agiliza el acceso a esos datos.

·         Connect: organizaciones interactúan con aplicaciones en la nube como si estuvieran dentro del propio firewall de la organización.

·         Administración de identidad y acceso: La solución Active Directory permite gestionar de forma centralizada y sencilla el control de acceso y la identidad. Esta solución es perfecta para la administración de cuentas y la sincronización con directorios locales

Conclusión

La computación en nube promete varios beneficios atractivos para las empresas y los usuarios finales, puesto que elimina la cantidad y la variedad de hardware y software que tradicionalmente se necesitaban para almacenar los archivos e información, pasando a ser responsabilidad de un proveedor experimentado facilitar la infraestructura requerida para facilitar que la información que resulte de mayor interés llegue en tiempo real.

Bibliografía

Hernansanz, J. 2009. Universidad Complutense de Madrid - Facultad de Informática. Arquitecturas de red para servicios en Cloud computing.

Microsoft. 2015.

Resumen Clases Servicios de Transferencia de Archivos, Correos Electrónicos y Directorios; Políticas de Seguridad del Servidor.

INTRODUCCIÓN

Sin duda alguna en los últimos años las tecnologías han tenido un avance vertiginoso, suponiendo una transformación no sólo en el ámbito técnico sino también en los estilos de vida y en la cultura. Sin embargo la malicia del hombre lo ha llevado a usar dichas tecnologías de manera maliciosa convirtiéndola en un objetivo para ataques, entre los cuales se encuentran los ataques a servidores. Por esta razón, es de suma importancia que el administrador fortalezca el sistema y bloquee servicios, ya que en ellos se encuentra el activo más importante para una empresa que es la información, por lo tanto deben existir estándares, protocolos, métodos, reglas, herramientas y leyes concebidas, para minimizar los posibles riesgos a la información.

Respecto a los servicios a los servicios que hoy ofrece internet no sólo se ha multiplicado, sino que han evolucionado hacia nuevas y mejoradas funciones como la transferencia de archivos, correos electrónicos y directorios, utilizando para ellos protocolos como el FTP y el P2P.

Buenas prácticas de seguridad para servidores Windows

Consideraciones básicas de seguridad

Ø  Deshabilitar los usuarios de invitado (guest)

En algunas versiones de windows los usuarios de invitado vienen por omisión deshabilitadas pero no en todas. Por ello es importante chequear luego de la instalación en que estatus se encuentra. De igual forma a estos  usuarios se les debe asignar una contraseña compleja y se puede restringir el número de logons que puede realizar por día como medida extra de seguridad.

Ø  Limitar el número de cuentas en tu servidor

Elimina cualquier usuario innecesario: duplicados (por ejemplo invitado y guest), prueba, compartidos, departamento, etc. Utiliza políticas de grupos para asignar los permisos que se van necesitando. Audita tus usuarios regularmente.

Las cuentas genéricas son conocidas por contraseñas débiles y muchos accesos desde múltiples equipos. Son el primer punto de ataque de un hacker.

Ø  Limitar los accesos de la cuenta de administración

El administrador no debe utilizar la cuenta de mayores privilegios para sus actividades diarias que no necesitan accesos especiales. De esta forma puedes colocarle a la cuenta de administración con todos los privilegios una política de accesos más agresiva: contraseña compleja con cambio cada 3 meses mínimo y un correo o registro de cada acceso de la misma al servidor. De ser posible los administradores sólo deben usar la cuenta de administración una vez que están en el servidor con su cuenta personal y utilizar la cuenta de mayores privilegios en el modo “ejecuta como” o “run as if”, esto permite que sepas quien usaba la cuenta en qué momento y por qué. 

Ø  Renombrar la cuenta de administración

Aunque se discute aún se discute si esta medida es o no efectiva. Es cierto que al menos dificulta el trabajo de hackers principiantes. La idea es que el nombre del usuario no indique sus privilegios.

Ø  Crear una cuenta “tonta” de administrador

Esta es otra estrategia que se utiliza, crear una cuenta llamada administrador y no se le otorgan privilegios y una contraseña compleja de al menos 10 caracteres. Esto puede mantener a algunas personas que están tratando de acceder entretenidos.

Ø  Monitorear la utilización de la misma.

Cuidado con los privilegios por omisión para los grupos de usuarios En el contexto de windows existen grupos como “Everyone” en el que todo el que entra al sistema tiene acceso a los datos de tu red. Por omisión existen carpetas compartidas para los usuarios del sistema operativo y algunas personas que no conocen los riesgos colocan datos en ellas. Por lo tanto, revisa que grupos pueden acceder a qué carpetas y considera si deben o no tener estos accesos.

Ø  Colocar las paticiones con NTFS

Los sistemas FAT y FAT32 no soportan buenos niveles de seguridad y constituyen una puerta trasera ideal para los atacantes.

Ø  Configurar políticas de seguridad en su servidor y su red

Microsoft provee kits de herramientas para la configuración de seguridad a su medida. Estos kits proveen plantillas para seleccionar el nivel de seguridad que su organización requiere y se pueden editar aspectos como: perfil de usuarios, permisología de carpetas, tipos de autenticación, etc. Pata mayor información al respecto puede consultar las páginas de technet de microsoft.

Ø  Apagar servicios innecesarios en el servidor

Por omisión algunos servicios vienen configurados y listos para utilizarse, aquellos que no están siendo utilizados constituyen una vulnerabilidad para su equipo. Revise servicios como: IIS, RAS, terminal services. Estos servicios poseen vulnerabilidades conocidas y deben ser configurados cuidadosamente para evitar ataques. También pueden existir servicios ejecutándose silenciosamente por lo que es necesario auditar periódicamente y verifique que los servicios que están abiertos son aquellos que se están utilizando por usted.  Algunos servicios a revisar son los siguientes:

 

Ø  Cerrar el acceso a puertos que no se están utilizando

Los servidores son el principal objetivo de un atacante. Una de las estrategias más utilizadas a la hora de localizar una víctima es verificar los puertos que la misma tiene abierta. Por ello, verifique el archivo localizado en: %systemroot%\drivers\etc\services. Configure sus puertos vía la consola deseguridad TCP/IP ubicada en el panel de control sus accesos de red. Una recomendación general es habilitar específicamente tráfico TCP e ICMP, para ello seleccione la opción de UDP y protocolo IP como permitido únicamente y deje los campos en blanco. Puede conseguir en las páginas de microsoft los puertos abiertos por omisión para el sistema operativo que tiene instalado.

Ø  Habilitar la auditoría en su servidor 

La forma más básica para detectar intrusos en un sistema operativo microsoft es habilitar las auditorías. Esto le brindará alertas en aspectos de seguridad muy importantes como: cambios en las políticas de seguridad, intentos de rompimiento de claves, accesos no autorizados, modificaciones a privilegios de usuarios, etc. Como mínimo considere habilitar las siguientes opciones: Eventos de login de usuario, gestión de cuentas de usuario, acceso a objetos, cambios en políticas, uso de privilegios y eventos del sistema. Es importante que registre tanto los eventos exitosos como los fallidos ya que ambas le indicaran que una persona no autorizada está tratando de realizar actividades en su servidor.

Ø  Colocar protección a sus archivos de registros de eventos 

Por omisión los archivos de eventos no están protegidos es importante dar permisos tanto de lectura como escritura solo a los usuarios de sistema y administradores. De lo contrario un atacante podrá fácilmente eliminar sus huellas luego de un ataque.  Desactiva la opción del último usuario para desplegarse en la pantalla de inicio o bloqueo del sistema

En windows por omisión cuando se presiona Ctrl­Alt­Del aparece el último usuario que utilizó el equipo esto hace muy fácil obtener el nombre de la cuenta de usuario de administración, el atacante puede utilizar sus habilidades para adivinar o crackear la contraseña del usuario. Este parámetro de configuración puede modificarse en las plantillas de su CD de instalación o en las políticas de seguridad.

Ø  Verificar los parches de seguridad que libera microsoft mensualmente

Microsoft libera boletines de seguridad mensualmente indicando parches para sus sistemas operativos, es indispensable estar al tanto de los mismos y aplicar metódicamente para evitar ser víctima de ataques conocidos y ya reparados. Usted puede suscribirse a listas de actualización en las que le indicaran qué parches están disponibles y en dónde descargarlos.

Ø  Deshabilitar las carpetas compartidas por omisión que no son necesarias

Colocando net share en la línea de comando del prompt podrás conocer las carpetas compartidas.

Ø  Deshabilitar la opción de creación del archivo dump

Aunque esta opción es muy útil para conocer los por menores de un error en el servidor como las causas de los famosos pantallazos azules. También sirve para proveer al atacante de información sensible como contraseñas de las aplicaciones.

Puedes deshabilitar esta opción en: panel de control, sistema, propiedades, avanzadas, recuperación y reinicio. Allí deshabilita la opción “escribir información de fallas” a ninguna. Si necesitas conocer las causas de una falla recurrente en el servidor siempre puedes volver a habilitar la opción y verificar qué está sucediendo. Si lo haces recuerda eliminar los archivos que se creen después de utilizarlos.

PROTEJA SUS SERVIDORES

Según Martin (2008) en el momento en que los servidores están en peligro, también lo está toda la red.

1. Certificados de servidor.

Identifican a los sitios Web. Requiere de la existencia de una autoridad certificadora (CA) que afirme, mediante los correspondientes certificados de servidor, que éstos son quienes dicen ser antes del establecimiento del canal seguro.

Le permitirá establecer comunicaciones seguras con sus clientes, cifrando la conexión usando la tecnología SSL para que no pueda ser leída por terceros.

2. Mantenga sus servidores en un lugar seguro.

Las empresas deben asegurarse de que sus servidores no son vulnerables a las catástrofes físicas. Coloque estos equipos en una sala segura y con buena ventilación.

Haga una relación de los empleados que tienen las llaves de la sala de servidores.

3. Práctica de menos privilegios.

Asigne distintos niveles de permisos a los usuarios. En vez de conceder a todos los usuarios el acceso "Administrador, debe utilizar los servidores para administrar los equipos cliente. Los servidores de Windows se pueden configurar para conceder a cada usuario acceso únicamente a programas específicos y para definir los privilegios de usuario que se permiten en el servidor. De este modo se garantiza que los usuarios no pueden efectuar cambios que son  fundamentales en el funcionamiento del servidor o equipo cliente.

4. Conozca las opciones de seguridad.

Los servidores actuales son más seguros que nunca, pero las sólidas configuraciones de seguridad que se encuentran en los productos de servidor de Windows sólo son eficaces si se utilizan del modo adecuado y se supervisan estrechamente. 

Servicios de Transferencia de Archivos, Correos Electrónicos y Directorios

Un servicio de transferencia de archivos permite copiar o mover archivos entre computadoras conectadas a Internet. Los dos servicios más usados son el FTP y el P2P, que son también los nombres de sus protocolos.

El FTP es uno de los sistemas de almacenamiento y distribución de archivos más populares de Internet. La sencillez con la que se realizan el montaje y el acceso, permiten a cualquier usuario acceder a archivos y carpetas remotas, casi como si se tratara de su propio disco duro. A continuación resolveremos algunos de los interrogantes más comunes en torno a éste.

FTP proviene de las siglas en inglés de File Transfer Protocol. Es un protocolo utilizado en forma específica para la transferencia de archivos a través de Internet. Así como usamos el HTTP para acceder a sitios web y el SMTP para el envío de correo electrónico, el FTP es parte de los protocolos del TCP/IP, que en este caso permiten trabajar con archivos y carpetas. Como se han de suponer, para poder trabajar con un FTP hace falta un servidor que aloje los archivos y al cual se le asigne una dirección FTP; la que nos servirá como “ruta” para acceder a los mismos. Si bien el propio Internet Explorer permite ingresar a la mayoría de los FTP para consultar o descargar su contenido, existen programas “cliente” que están desarrollados en forma específica para esa actividad. Mediante éstos, podemos subir o bajar información, modificarla, crear y borrar carpetas o archivos y todo cuanto hagamos con cualquier unidad local de nuestra PC. Gran parte de los servidores web utilizan el protocolo FTP, para que el diseñador pueda subir los archivos correspondientes al sitio que desea publicar allí. Esta práctica facilita en gran medida la tarea, ya que podemos transferir archivos en grandes cantidades, como si los copiáramos de una unidad a otra de la PC.

Una red peer-to-peer, red de pares, red entre iguales, red entre pares o red punto a punto (P2P, por sus siglas en inglés) es una red de computadoras en la que todos o algunos aspectos funcionan sin clientes ni servidores fijos, sino una serie de nodos que se comportan como iguales entre sí. Es decir, actúan simultáneamente como clientes y servidores respecto a los demás nodos de la red. Las redes P2P permiten el intercambio directo de información, en cualquier formato, entre los ordenadores interconectados.

Normalmente este tipo de redes se implementan como redes superpuestas construidas en la capa de aplicación de redes públicas como Internet.

El hecho de que sirvan para compartir e intercambiar información de forma directa entre dos o más usuarios ha propiciado que parte de los usuarios lo utilicen para intercambiar archivos cuyo contenido está sujeto a las leyes de copyright, lo que ha generado una gran polémica entre defensores y detractores de estos sistemas.

Las redes peer-to-peer aprovechan, administran y optimizan el uso del ancho de banda de los demás usuarios de la red por medio de la conectividad entre los mismos, y obtienen así más rendimiento en las conexiones y transferencias que con algunos métodos centralizados convencionales, donde una cantidad relativamente pequeña de servidores provee el total del ancho de banda y recursos compartidos para un servicio o aplicación.

Dichas redes son útiles para diversos propósitos. A menudo se usan para compartir ficheros (archivos) de cualquier tipo (por ejemplo, audio, vídeo o software). Este tipo de red también suele usarse en telefonía VoIP para hacer más eficiente la transmisión de datos en tiempo real.

La eficacia de los nodos en el enlace y transmisión de datos puede variar según su configuración local (cortafuegos, NAT, ruteadores, etc.), velocidad de proceso, disponibilidad de ancho de banda de su conexión a la red y capacidad de almacenamiento en disco.

Conclusiones

Ø Las políticas de seguridad de servidores esta basada en la aplicación de estándares, protocolos, métodos, reglas, herramientas o leyes que permitan al administrador fortalecer la seguridad de los servidores, salvaguardando la integridad de la información.

Ø Los servicios de transferencias de archivos, correos y directorios facilitan a los usuarios el compartimiento o intercambio de información entre computadoras conectadas a Internet .

Bibliografía

Berners-Lee, T.2011. "The World Wide Web: Past, Present and Future".

Martin, M. 2008. Security & Privacy Initiatives. Guía de Seguridad. 9 pasos para implementar la seguridad informática en su empresa”. (En línea). ES. Versión 1.0.

 Oram, A; O'Reilly, M. 2001. Peer-to-peer: Harnessing the Benefits of a Disruptive Technologies.

Steinmetz, R; Wehrle, K. 2005 What Is This “Peer-to-Peer” About?. Springer Berlin Heidelberg. p 9 – 16.

Torres, J. 2006. Practicas básicas de seguridad en Windows. 2da. Escuela Venezolana de Seguridad de Cómputo.

UAM (Universidad Autónoma de Madrid). s.f. Guía básica de seguridad para Windows. Disponible en: http://www.uam.es/servicios/ti/servicios/ss/rec/winnt.html