Manual De MOVEit DMZ v7.5
Contenido Contenido Introducción... 3 Iniciación Inicio de Sesión... 7 Información General Seguridad... 13 Regulaciones Privacidad/Seguridad/Auditoría... 18 ~2~
Introducción Introducción MOVEit DMZ Enterprise es un servidor seguro de transferencia de archivos. Es un componente vital de la línea MOVEit de productos de procesamiento, almacenamiento y transferencia de archivos de manera segura creado por Ipswitch, Inc.. Estos productos proporcionan soluciones integrales basadas en estándares para manejar de manera segura información delicada, como archivos financieros, registros médicos, documentos jurídicos y datos personales. MOVEit DMZ recopila, almacena, maneja y distribuye de manera segura y protegida información delicada entre su organización y entidades externas. Los navegadores de web y clientes FTP seguros sin costo o de bajo costo intercambian archivos de manera rápida, fácil y segura con MOVEit DMZ a través de conexiones encriptadas usando protocolos como HTTP mediante SSL (https), FTP mediante SSL (ftps) y FTP mediante SSH (sftp). Además, todos los archivos recibidos por MOVEit DMZ se almacenan de manera segura, utilizando el cifrado avanzado (AES) validado por FIPS 140-2, el estándar de cifrado de los gobiernos de los Estados Unidos y Canadá. Además, una interfaz web ofrece una administración y monitoreo fácil en línea de las actividades de MOVEit DMZ mientras una interfaz programable (vía MOVEit DMZ API Windows y MOVEit DMZ API Java) hace a MOVEit DMZ accesible para las aplicaciones personalizadas. MOVEit DMZ incluye un plug-in del Asistente MOVEit opcional que funciona con Internet Explorer, Firefox y Mozilla para ayudar a los usuarios basados en la web a cargar y descargar rápidamente archivos grandes o múltiples y directorios de carpetas hacia y desde MOVEit DMZ. Las capacidades de cifrado de la línea de productos MOVEit son proporcionadas por MOVEit Crypto. El cifrado AES en el MOVEit Crypto ha sido validado por FIPS 197. El módulo criptográfico entero obtuvo la validación de FIPS 140-2 después de haber sido examinado rigurosamente por especialistas criptográficos del Instituto Nacional de Normas y Tecnología de los Estados Unidos (NIST) y la Dirección de Seguridad en las Comunicaciones (CSE) de Canadá. MOVEit DMZ también tiene un Certificado de Valor Neto (CoN) aprobado del Ejército de los Estados Unidos. Esta certificación implica una evaluación de cómo MOVEit DMZ cumple con los requisitos del Ejército para seguridad de redes, integración, interoperabilidad y facilidad de administración y asistencia. Especificaciones físicas El software MOVEit DMZ mismo reside en una plataforma Microsoft Windows Server reforzada contra amenazas provenientes de Internet y redes de fiar. Las organizaciones que necesitan respaldar grandes volúmenes de transferencias de archivos y/o numerosos usuarios pueden requerir hardware adicional, pero para muchas organizaciones las especificaciones mínimas recomendadas de un MOVEit DMZ ~3~
Introducción deben ser suficientes: CPU de 2 GHz compatible con Pentium Disco duro de 80 GB SATA o SAS 1 GB de RAM Interfaz ethernet de 100/1000 Mb con capacidad para TCP/IP Pueden encontrarse las recomendaciones más recientes de producción en nuestra Base de Conocimientos en línea. Especificaciones de la red En la topología típica de una red, MOVEit DMZ se ubica óptimamente en un segmento seguro de "DMZ" accesible para usuarios internos y externos."dmz" es una abreviatura para la Zona Desmilitarizada - una red de "tierra de nadie" donde los anfitriones internos y externos pueden conectarse uno con otro. De manera predeterminada, las conexiones originadas desde un segmento de la red DMZ no son confiables y normalmente no se permiten; a menos que haya una razón convincente para permitir que pase un servicio en particular. Los clientes Web y FTP seguro pueden cargar y descargar archivos a MOVEit DMZ desde redes internas y externas. Por motivos de seguridad, NO se permite a MOVEit DMZ establecer conexiones o forzar archivos a sistemas o redes interiores o exteriores. (Si se desea una solución "forzar Proxy" o "Proxy almacenamiento y reenvío", puede utilizar MOVEit Central en conjunto con MOVEit DMZ para este fin.) Ventajas de seguridad de MOVEit DMZ sobre otras soluciones de "FTP seguro" Existen tres "áreas" donde los archivos están en situaciones de riesgo cuando se transfieren entre una red externa (como la Internet) y su red interna: ~4~
Introducción Cuando se transfieren a través de la INTERNET a un sistema en su DMZ. Cuando se almacenan temporalmente en un sistema en su DMZ. Cuando se transfieren desde el sistema en su DMZ a un sistema en su red interna. La mayor parte de los productos de transferencia segura de archivos Web y FTP se ubican en un sistema en una DMZ y utilizan SSL o SSH (estándar industrial) para ofrecer transferencias seguras entre la INTERNET y la DMZ. (MOVEit DMZ también.) Desafortunadamente, esto es todo lo que ofrecen la mayor parte de los productos; no pueden garantizar la seguridad de archivos almacenados en DMZ (en una situación de riesgo cuando la DMZ sufre pirateo) y no aseguran los archivos que se transfieren entre DMZ y MY ORG (en situación de riesgo si el pirata dispone una detección "sniffer" dentro del DMZ). MOVEit DMZ garantiza la seguridad en todas las áreas utilizando transferencias encriptadas SSL/SSH para TODAS las transferencias y utilizando el cifrado AES validado por FIPS 140-2 AES para asegurar los archivos en el disco. Además, solo MOVEit DMZ ofrece la integridad de un extremo a otro a través de FTP. En otras palabras, se puede comprobar que los archivos transferidos con un cliente FTP seguro o clientes Web compatibles con la verificación de integridad archivos a través del sistema MOVEit, son 100% idénticos a los archivos de origen correspondientes a través del uso de hash criptográficos SHA-1. (Cuando se combina con autenticación, la integridad completa del archivo se efectúa con reconocimiento de autoría.) Acceso a MOVEit DMZ El acceso del "Cliente" a MOVEit DMZ está disponible a través de varias interfaces, como HTTPS, FTP mediante SSL, y FTP mediante SSH. La interfaz web incorporada permite acceso a cualquier con un navegador de web desktop (vea la lista completa de navegadores compatibles). Los administradores autorizados pueden configurar el servidor MOVEit DMZ desde ubicaciones autorizadas mientras que los clientes y socios usan un portal más simple para mover archivos desde y hacia el sistema MOVEit DMZ. A través de la interfaz de web también está disponible opcionalmente el Asistente de carga y descarga de MOVEit para brindar transferencias de archivo más rápidas y fiables usando la web que lo disponible normalmente a través de "stock HTTP". El Asistente MOVEit también es el único cliente basado en navegador que admite la verificación de integridad de los archivos. También se ofrece una interfaz de FTP seguro en el servidor MOVEit DMZ para personas o programas con clientes FTP seguros. La línea MOVEit ofrece dos clientes gratis de línea de comandos, susceptibles a guiones, MOVEit Freely (FTP) y MOVEit Xfer (HTTPS), siendo ambos compatibles con la verificación de integridad de los archivos. Ipswitch también ofrece WS_FTP Professional, un cliente para transferir archivos Windows con un conjunto robusto de funciones, el cual también es compatible con la verificación de integridad de los archivos. Muchas otras compañías fabrican clientes FTP seguros para equipos y servidores que también interactúan con servidores de FTP seguros de MOVEit DMZ mediante SSL y FTP mediante SSH. Para los departamentos de informática (IT) que desean más control sobre el entorno de MOVEit DMZ de lo que ofrece el protocolo FTP, los productos MOVEit DMZ API facilitan el acceso y el control de MOVEit DMZ a través de un objeto COM (para Windows) o clases de Java (para *nix, Windows, IBM, etc.). MOVEit DMZ API también es compatible con transferencias de archivo con plena verificación de integridad y se envía con varias utilidades de línea de comando para administradores que prefieren guiones en vez de programar. ~5~
Introducción Si desea la automatización entre desktop y servidor, o la capacidad de acceder a MOVEit DMZ como carpeta local, considere usar MOVEit EZ. MOVEit EZ es una "aplicación de icono de bandeja" que sincroniza el contenido entre el equipo del usuario y MOVEit DMZ y programa las transferencias. Al acoplarse con MOVEit Central y las licencias adecuadas, MOVEit DMZ es compatible con la transferencia de archivos AS2 y AS3. (MOVEit DMZ puede usarse como servidor AS3 independiente, pero sin MOVEit Central no tiene cómo encriptar o descifrar mensajes específicos.) Hay más información acerca de estos clientes y docenas de clientes de terceros que también se usan para intercambiar archivos de manera segura con MOVEit DMZ que puede encontrase en el documento de "Asistencia al cliente". Transferencia Ad Hoc El Módulo de transferencia Ad Hoc, el cual requiere una licencia separada, proporciona una manera segura de hacer transferencias de archivos persona a persona. Pueden enviarse archivos grandes y anexos múltiples de manera rápida y segura, evitando las limitaciones de un servidor de correo. Los usuarios MOVEit DMZ registrados pueden usar un navegador o un plug-in de Outlook para enviar archivos y/o un mensaje (que se llama 'paquete') a una dirección de correo electrónico. Redactar un paquete MOVEit que incluya archivos es como escribir un mensaje de correo electrónico con anexos. Pero hay diferencias. Los anexos de archivos enviados como parte de un paquete se cargan a un servidor MOVEit DMZ. Se enviará un mensaje de correo electrónico de 'notificación de paquete nuevo' a los destinatarios, para informarles que hay un paquete en espera. Los destinatarios pueden hacer clic en el enlace de la web contenido en esta notificación, iniciar sesión en MOVEit DMZ, y ver el paquete, donde pueden descargar los archivos. Si está habilitado, un destinatario también puede contestar un paquete y enviar anexos adicionales, los cuales también se cargarán en el servidor de transferencia de archivos. El administrador de la organización puede establecer opciones que determinen quién puede enviar y recibir paquetes. Una opción permite a los usuarios no registrados ser destinatarios, y otra opción permite a los usuarios no registrados autoregistrarse y enviar paquetes. Otras opciones incluyen cuotas de niveles de usuarios y paquetes, y vencimiento de paquetes y límites de descarga. MOVEit Central Para más de diez transferencias de archivos programadas, para mover archivos inmediatamente hacia o desde los servidores de MOVEit DMZ, o si se desea la conectividad con otros servidores, MOVEit Central es la mejor herramienta. MOVEit Central puede admitir miles de tareas de transferencias de archivos y se usa en el trabajo de producción para trasladar de manera segura cientos de miles de archivos al día en los grandes centros de datos. MOVEit Central reconoce instantáneamente que un archivo ha llegado a MOVEit DMZ o al sistema de archivos Windows y puede empezar a transferir este archivo a su destino final inmediatamente. MOVEit Central admite los protocolos seguros más populares utilizados en distintas industrias, como FTP, SSH, FTP mediante SSL, SMIME, PGP, correo electrónico y AS1/AS2/AS3. En pocas palabras, en conjunto con MOVEit DMZ, MOVEit Central completa un sistema de transferencia segura, el cual puede recibir, grabar y enviar archivos de manera segura entre casi cualquier máquina compatible con el protocolo de transferencia segura. ~6~
Para comenzar - Inicio de sesión Para comenzar - Inicio de sesión La página de Inicio de sesión es la primera página que aparece en el sitio de MOVEit DMZ. Esta página contiene campos para su Nombre de usuario y Contraseña y un botón de "Inicio de sesión" para enviar esta información a MOVEit DMZ. Hacer clic en los iconos del teclado junto a los campos de nombre del usuario y contraseña abrirá un teclado con clics que puede usarse para introducir su información de autenticación. Si usa el teclado con clics puede prevenir que se registren las teclas pulsadas. Si está ingresando en el sitio MOVEit DMZ desde una computadora pública, es altamente recomendable usar el teclado con clics para introducir su nombre de usuario y contraseña. Si su organización admite varios idiomas, MOVEit DMZ proporcionará enlaces para cambiar el idioma mostrado. Haciendo clic en uno de los enlaces cambiará la página de Inicio de sesión para mostrarla en ese idioma, y colocar una cookie para que se utilice el idioma elegido al iniciar sesión usted la próxima vez. ~7~
Para comenzar - Inicio de sesión Cuando pulse el botón Iniciar sesión, su nombre de usuario y contraseña se transmiten de manera segura (vía HTTPS) a MOVEit DMZ. Si falla su inicio de sesión, aparecerá un mensaje de error. Si intenta iniciar la sesión demasiadas veces en un corto lapso puede quedar bloqueado del sistema por completo. Si necesita asistencia, use el enlace "Asistencia técnica" en la página de Inicio de sesión para ponerse en contacto con alguien que le pueda ayudar. Si la sesión se inicia satisfactoriamente, se le mostrará un mensaje de éxito. La página que aparece inmediatamente después de iniciar sesión depende de cómo haya llegado a la página de inicio de sesión en primer lugar. Si ha escogido un enlace desde su navegador de web o ha escrito un URL breve en su navegador, lo más probable es que ahora esté en la Página inicial. Si hizo clic en un enlace de una notificación por correo electrónico, ahora está mirando un paquete o un archivo. Razones comunes de acceso denegado Por motivos de seguridad, le aparece el MISMO mensaje a cualquiera que falle al iniciar sesión por las siguientes razones. (Solo se le dirá que se denegó el acceso, no POR QUÉ fue denegado) El nombre de usuario es incorrecto La contraseña es incorrecta Se ha suspendido la cuenta (debido a demasiados intentos de inicio fallidos, envejecimiento de contraseña o acción manual del administrador) No se permite a la cuenta ingresar desde esta dirección IP Se ha bloqueado la dirección IP (debido a demasiados intentos fallidos de iniciar sesión, a menudo con diferentes nombres de usuarios) El certificado del cliente no se ha provisto cuando se requiere uno, o se ha provisto un certificado de cliente incorrecto. Pedir un cambio de contraseña Algunas organizaciones pueden permitirle pedir un cambio automático de contraseña si ha olvidado la suya, para evitar ir y volver de la oficina de asistencia técnica. Si está activada esta opción, habrá un ~8~
Para comenzar - Inicio de sesión enlace "Pedir un cambio de contraseña" en la parte inferior de la página de entrada. Al hacer clic en este enlace se abrirá la página para pedir que se cambie la contraseña. Esta página le pedirá su nombre de usuario y le dará instrucciones para completar el proceso de cambio de contraseña. Una vez que introduzca su nombre de usuario y haga clic en el botón Pedir cambio de contraseña, se enviará un mensaje de correo electrónico a su dirección registrada, si su cuenta tiene una, ya sea con instrucciones para completar el cambio de contraseña o un aviso de que se denegó el cambio de contraseña. Solicitud para cambiar contraseña Aparece esta página si hace clic en un enlace para "Solicitar un cambio de contraseña" en la parte inferior de la página de inicio de sesión. Indique su nombre de usuario en el campo y luego haga clic en el botón "Solicitar cambio de contraseña". Se enviará a su dirección registrada de correo electrónico un mensaje de correo electrónico con más información acerca del proceso para reajustar la contraseña. Este mensaje puede pedirle hacer clic en un enlace para reajustar su contraseña. De ser así, tendrá el tiempo especificado para hacerlo antes de que caduque el enlace. Si no se entrega ningún enlace en el mensaje, o si no recibe un mensaje dentro de 15 minutos, deberá ponerse en contacto con su administrador para reajustar su contraseña. ~9~
Para comenzar - Inicio de sesión Registrar y enviar archivos Algunas organizaciones pueden permitirle autoregistrarse con el fin de enviar un paquete. Los usuarios que se autoregistran se manejan conforme a la configuración de la organización, ya sea como invitado una sola vez o usuarios temporales por tiempo limitado. Si está activada esta opción, habrá un enlace "Registrar y enviar archivos" en la parte inferior de la página de inicio de sesión. Hacer clic en este enlace abre la página para Registrar y enviar archivos. Esta página tiene campos para la dirección de correo electrónico del destinatario así como para su propia dirección de correo electrónico. Dependiendo de cómo haya configurado esto la organización, la página podría ofrecer también un cuadro "Captcha" para verificar que se trate de una persona y no de un proceso automatizado. ~10~
Para comenzar - Inicio de sesión Una vez que ponga la información solicitada y haga clic en el botón Registrar y enviar archivos, se iniciará su sesión inmediatamente o recibirá una página explicándole que se ha enviado un mensaje a su dirección de correo electrónico con información e instrucciones para registrarse. Certificados de clientes Su organización puede exigirle autenticar a MOVEit DMZ con un certificado de cliente SSL (X.509) ("cert cliente"). Esto es común cuando se requiere "autenticación de dos factores". Todos los certificados de clientes son"autofirmados" o "firmados por CA". La "CA-" indica que una"autoridad de certificación" ha firmado el certificado de cliente y garantiza la identidad del titular. Además, las CA se dividen en "CA comerciales" que venden servicios de firma y emisión de certificados de clientes al público en general (es decir, Thawte, GeoTrust, etc.) y "CA corporativas" que realizan las mismas funciones de certificado de clientes para sus propios usuarios. ~11~
Para comenzar - Inicio de sesión MOVEit DMZ es compatible con certificados autofirmados, certificados firmados por CA comerciales y por CA corporativas, pero sólo su organización puede decirle cuáles certificados de clientes aceptará para autenticación. Su certificado de cliente puede entregársele como archivo "*.pfx" con una contraseña o puede ser su responsabilidad pedir un certificado de cliente de una CA; reiteramos que sólo su organización sabe los detalles de este proceso. Diversos navegadores tienen distintas maneras de instalar certificados de clientes. Internet Explorer (IE) usa el Windows Certificate Store; usted puede instalar y administrar certificados de clientes a través del diálogo "Certificate" [certificado] de IE (ubicado en la ficha "Content" [contenido] en el menú "Tools" [herramientas] de IE7). Windows también ejecutará un asistente de importación de certificados de clientes que instalará automáticamente la mayoría de los certificados de clientes en IE si usted sólo hace doble clic en el archivo de certificado de cliente "*.pfx". La línea de navegadores Mozilla/Firefox utiliza su propio almacenamiento de certificados de clientes. Para instalar certificados de clientes en estos navegadores debe usar el "Certificate Manager" [administrador de certificados] que contienen. En Mozilla (1.7), esta función se encuentra en el árbol de opciones "Privacy & Security" [privacidad y seguridad]. En Firefox (2.0), esta función se encuentra en la ficha de opciones "Encription" [encriptación] (botón "Ver certificados"). Diversos navegadores también tienen distintas maneras de seleccionar certificados de clientes para autenticación. La manera más común es que el navegador simplemente le pregunte (mediante un diálogo emergente) acerca de cuál certificado de cliente usar. Al conectar con un servidor MOVEit DMZ, puede pedírsele a través de su navegador que seleccione un certificado de cliente después de completar su nombre de usuario y contraseña o antes de ver la pantalla de ingreso. Sin embargo, la mayoría de los navegadores tienen opciones para presentar automáticamente un certificado de cliente si sólo tiene uno instalado o no le pedirá que elija un certificado de cliente si no presentó uno. En estos casos puede usar autenticación de certificado de cliente en segundo plano (en el caso de "un certificado, no preguntar") o para nada (en el caso de que "no hay certificados instalados, no preguntar"). Finalmente, la clave privada en el certificado de cliente puede estar protegida por contraseña. Si éste es el caso puede tener que escribir también la contraseña que creó cuando optó por proteger este certificado de cliente o almacén de claves. (Generalmente, dichas peticiones ocurren una vez por sesión.) ~12~
Información general - Seguridad Información general - Seguridad Las siguientes funciones de seguridad son las del software MOVEit DMZ y existen adicionalmente al refuerzo del sistema operativo y los servicios asociados de la aplicación. Encriptación de transporte Durante el transporte MOVEit DMZ usa SSL o SSH para cifrar las comunicaciones. La intensidad mínima de la encriptación empleada durante el transporte de web (por ej., 128 bits) es configurable dentro de la interfaz MOVEit DMZ. Este valor es configurable por la organización. A fin de configurar este valor para una organización en particular, inicie sesión como SysAdmin, visualice la organización para la cual debe establecerse este valor, y haga clic en el enlace "Change Req" [cambiar req] para fijar el valor. NOTA: Si establece el valor mínimo de encriptación de la organización "System" (#0), se le dará la oportunidad de aplicar este parámetro a TODAS las organizaciones en el sistema. Encriptación de almacenamiento MOVEit DMZ almacena todos los archivos en disco usando AES validado por FIPS 140-2 de 256 bits AES (http://csrc.nist.gov/encryption/aes), el nuevo estándar federal (estadounidense) para encriptación. MOVEit Crypto, el motor de encriptación del cual depende MOVEit DMZ, es solo el décimo producto que han aprobado, validado y certificado los gobiernos de los Estados Unidos y Canadá en cuanto a idoneidad criptográfica bajo las pautas rigurosas de FIPS 140-2. MOVEit DMZ también sobreescribe archivos recién borrados con bytes aleatorios para evitar que incluso los archivos encriptados permanezcan en el disco físico después de que los usuarios pensaban haberlos destruido. Precauciones tomadas durante el intercambio de transporte-almacenamiento Si los archivos recibidos por MOVEit DMZ fueran simplemente copiados a un búfer de memoria cleartext, los programas de virus podrían potencialmente sacar archivos delicados de estos espacios. En vez de esto, MOVEitDMZ bobina trozos de archivos recibidos en búfers mucho más pequeños, los encripta y escribe en disco casi inmediatamente. Bobinar archivos de este modo reduce la exposición general de dos maneras: 1) reduce la cantidad de información expuesta y 2) reduce el tiempo que se expone la información. (Esta técnica también ofrece algunas ganancias importantes de rendimiento.) (Una pregunta frecuente sobre este tema es "por qué no guardar el archivo usando SSL o SSH" - la respuesta breve a esta pregunta es: SSL o SSH utilizan claves temporales que se renegocian cada vez que un cliente establece una nueva conexión, y necesitamos claves "más permanentes" para guardar.) Revisión de integridad Cuando se usan ciertos clientes de transferencia de archivos con un servidor MOVEit DMZ, se confirma la integridad de los archivos transferidos. Todos los clientes de FTP y API seguros de MOVEit y basados ~13~
Información general - Seguridad en la web (incluso el Asistente de carga y descarga) son compatibles con la revisión de integridad. Otros clientes FTP también pueden aprovechar las revisiones de integridad. Para realizar una revisión de integridad, tanto el cliente como el servidor obtienen una mezcla criptográfica del archivo transferido como parte del último paso de la transferencia. Si concuerdan los valores, ambos lados "saben" que el archivo transferido es completamente idéntico al original. Los resultados de toda revisión de integridad no solo se muestran al usuario del cliente de transferencia de archivo sino que se guardan para acceso inmediato en el servidor de MOVEit DMZ. Transferencia inmediata desde del servidor Cuando se usa con MOVEit Central, MOVEit DMZ es compatible con transferencias "impulsadas por eventos" que permiten empezar a bobinar los archivos a servidores internos tan pronto lleguen a un servidor MOVEit DMZ con Internet. Esto previene que incluso los archivos encriptados queden en el servidor más tiempo de lo que sea absolutamente necesario. Reanudación de transferencias MOVEit DMZ es compatible con la reanudación de transferencias de archivos tanto en la interfaz HTTPS como en la FTPS. Además de ser útil durante transferencias de archivos multi-gigabyte, esta función también es segura en el sentido de que hace que las transferencias de archivos grandes sean menos susceptibles a ataques donde se deniega el servicio. Cuotas de carpetas Se pueden establecer cuotas aplicables de tamaños de carpetas en diversas carpetas para prevenir que se agote el espacio de almacenamiento del sistema. Cuotas de usuarios Se pueden establecer cuotas aplicables de tamaños de usuarios para diversos usuarios para impedirles agotar el espacio de almacenamiento del sistema. Delegación de autoridad Los usuarios finales individuales que sean miembros de un grupo pueden ser designados como Administradores de grupos. Estos usuarios pueden entonces administrar usuarios, permisos de carpetas y libretas de direcciones en su grupo, sujeto a diversos parámetros establecidos por los administradores de la organización. Alertas administrativas Se envían notificaciones por correo electrónico a los administradores cuando hay usuarios bloqueados, cuando la verificación de consistencia interna nota algo raro dentro de la base de datos, etc. Flujos de trabajo unidireccionales MOVEit DMZ puede configurarse para no permitir nunca a los usuarios descargar lo que acaban de ~14~
Información general - Seguridad cargar en el sistema. Esta sola configuración puede impedir a los usuarios usar indebidamente MOVEit DMZ como depósito de materiales personales o restringidos. (Otra manera común de manejar esta situación es a través del uso de restricciones de IP.) Envejecimiento de contraseñas Se puede forzar a los usuarios a cambiar sus contraseñas periódicamente con las funciones de MOVEit DMZ relacionadas con el envejecimiento de contraseñas. Se notificará a los usuarios (por correo electrónico) varios días antes de su caducidad real, y se les notificará de nuevo cuando venza su contraseña. Historial de contraseñas MOVEit DMZ puede configurarse para recordar un cierto número de contraseñas e impedir que los usuarios vuelva a usar esas contraseñas. Requisitos de seguridad de la contraseña Se pueden establecer diversos requisitos de complejidad de las contraseñas en MOVEit DMZ, incluso requisitos de números/letras, palabras del diccionario y longitud. Bloqueo de la cuenta Si alguien intenta iniciar sesión en una cuenta válida con una contraseña incorrecta demasiadas veces, su cuenta puede quedar bloqueada y se notificará a los administradores por correo electrónico. Bloqueo de IP Una preocupación real de los administradores de todo recurso autenticado que permita bloquear cuentas es que alguien obtenga una lista de nombres de usuario válidos y los bloquee todos. Para mitigar este riesgo, MOVEit DMZ ofrece una función que impide que una máquina con una dirección específica de IP haga más solicitudes en el sistema si MOVEit DMZ detecta demasiados intentos fallidos de iniciar sesión. También se notificará a los administradores por correo electrónico cuando ocurra esto. Acceso de IP/Nombre de host restringido Se pueden restringir usuarios o clases de usuarios específicos a ciertos rangos de direcciones IP y/o nombres de host. Registro de auditoría detallado con evidencia de alteraciones MOVEit DMZ registra no solo eventos como inicio de sesión y terminar sesión, sino también cambios de permisos, adiciones de nuevos usuarios y otras acciones que afectan directamente la seguridad del sistema. Hay vistas en tiempo real de este seguimiento de auditoría así como herramientas de consulta detalladas en las páginas de Registros e Informes. Todas las entradas de registro se encadenan juntas criptográficamente de tal modo que sea evidente cualquier alteración (agregar, borrar, cambiar) en los registros de auditoría. ~15~
Información general - Seguridad Autenticación remota Los clientes RADIUS y LDAP de MOVEit DMZ admiten cualquier servidor estándar RADIUS y LDAP, incluso el Servidor de autenticación de Internet de Microsoft, BorderManager de Novell, Active Directory de Microsoft, edirectory de Novell, iplanet de Sun y Tivoli Access Manager de IBM (SecureWay). Disimulación de la identidad y versión del producto MOVEit DMZ no revela su nombre de producto a usuarios sin autorización mediante las interfaces SSH y FTP y puede configurarse para ocultar también esta información de los usuarios de la web. Los números de versión también se ponen solo a disposición de los usuarios autorizados. Disimular esta información evita que los hackers averigüen fácilmente lo que están atacando, complicándoles su trabajo de investigación. Certificados y claves de clientes Todas las interfaces importantes de MOVEit DMZ (SFTP, FTPS, HTTPS) admiten el uso de certificados de clientes SSL (X.509) y claves de clientes SSH. Los certificados de clientes SSL y claves de clientes SSH generalmente se encuentran instalados en máquinas individuales, pero los certificados de clientes SSL también están disponibles como tokens de hardware. Autenticación con factores múltiples Al usarse con un nombre de usuario, direcciones de IP, contraseñas y claves o certificados de clientes ofrecen autenticación de uno, dos o tres factores. Autenticación externa Las organizaciones preocupadas por almacenar combinaciones de usuarios y hash en la base de datos protegida de MOVEit DMZ pueden usar la función de Autenticación externa y trasladar todos los nombres de usuarios no administrativos y contraseñas a servidores RADIUS o LDAP. (El acceso a los nombres de usuarios administrativos restantes puede bloquearse para direcciones de IP específicas, solo internas.) Opción Not-In-DMZ Hay un modo de almacenar archivos encriptados de MOVEit DMZ en un lugar que no es DMZ. Es para desplegar MOVEit DMZ en una parte de una red de área de almacenamiento (SAN) existente. Protección de registro de pulsaciones de teclas "teclado con clics" del navegador de la Web Para evitar que software y hardware que registran las teclas pulsadas capten las teclas usadas para iniciar sesión en MOVEit DMZ usando un navegador de web, se proporciona un teclado con clics como método alternativo para la entrada de datos. El mismo teclado protege también otros campos de contraseña utilizados en la aplicación para resguardar también a otros usuarios. Protección de guiones Cross-Frame ~16~
Información general - Seguridad Para poder prevenir ataques de guiones cross-frame contra MOVEit DMZ, la interfaz de web se impedirá a sí misma cargarse en un cuadro o ventana iframe. Esto puede omitirse usando el indicador de solo contenido "contentonly", si el objetivo es integrar MOVEit DMZ con una aplicación de portal existentes usando cuadros. ~17~
Información General - Reglamentaciones - Privacidad/Seguridad/Auditoría Información General - Reglamentaciones - Privacidad/Seguridad/Auditoría Esta guía contesta algunas preguntas referentes a la conformidad prevista de MOVEit DMZ con las leyes HIPAA, FDIC, OCC, G-L-B, California SB 1386, Canadiense PIPEDA, la industria de tarjetas de pago (Payment Card Industry, "PCI"), Sarbanes-Oxley (conocida también como "SARBOX") y otras reglamentaciones. Consulte con Ipswitch para saber la información más reciente acerca de cómo ayuda MOVEit a sus clientes preocupados de la seguridad a lograr sus estándares de privacidad y seguridad en transferencia de archivo y almacenamiento, así como requisitos pertinentes contractuales, industriales y reguladores. "Datos en Reposo" - MOVEit DMZ cumple este requisito a través de cifrar todos los archivos almacenados en el disco con el cifrado avanzado (AES) con certificación FIPS 140-2 de 256-bytes. MOVEit Crypto (el módulo de cifrado que hace funcionar a MOVEit DMZ) es solamente el décimo producto en ser examinado, validado y certificado por los gobiernos de Estados Unidos y Canadá, bajo las rigurosas normas del FIPS 140-2. "Datos en Movimiento" - MOVEit DMZ cumple este requisito a través de utilizar canales codificados (SSL o SSH) cuando se envía o recibe datos. "Seguimiento de auditoría con evidencia de alteraciones" - MOVEit DMZ mantiene un seguimiento de auditoría completo no sólo de cada transferencia de archivo sino también de cada acción administrativa. Todas las entradas se encadenan criptográficamente de tal modo que sea evidente una alteración al registro (es decir, agregar, borrar o cambiar entradas). Las "verificaciones de alteraciones" se ejecutan automáticamente y pueden ejecutarse también manualmente siempre que sea necesario. "Verificación de Integridad" - Clientes de transferencias de archivos MOVEit DMZ y MOVEit, incluyendo a Wizard de Carga/Descarga, EZ, Xfer, Freely, Central, API y API Java utilizan Hash criptográficos para verificar la integridad de los archivos en la cadena de transferencias. "No-rechazo" - Autenticación MOVEit y la verificación de la integridad permite probar que ciertas personas han enviado y/o recibido archivos específicos. "Entrega Garantizada" - Cuando se combina el no repudio de MOVEit con las funciones de reiniciar y reanudar transferencias, MOVEit cumple con los requisitos del concepto conglomerado, llamado "entrega garantizada". "Destrucción de Datos Obsoletos" - MOVEit DMZ sobrescribe todos los archivos eliminados con datos aleatorios de calidad criptográfica para prevenir el acceso en el futuro. Específicamente, MOVEit DMZ reúne los requisitos de NIST SP800-88 (borrado de datos). "Acceso Limitado Solo-Necesario" - Los permisos de usuarios/grupos de MOVEit DMZ permiten acceso solamente a los materiales a los cuales los usuarios deberían tener acceso. "Buena Protección de Contraseñas" - MOVEit DMZ requiere contraseñas fuertes, no les permite a los usuarios que vuelvan a utilizar las mismas contraseñas y periódicamente requiere cambios de contraseñas. "Buen Cifrado" - MOVEit DMZ utiliza SSL para la comunicación entre redes. Este protocolo "negociado" se puede utilizar para conectar con la STRENGTH de 128-bytes, la máxima disponible en el momento. MOVEit DMZ utiliza el cifrado avanzado (AES) con certificación FIPS 140-2 de 256-bytes de MOVEit Crypto para almacenar datos en el disco. (Este algoritmo ha sido seleccionado por NIST para reemplazar DES, y es más rápido y más seguro que Triple-DES.) "Protección contra Denegación del Servicio" - MOVEit DMZ tiene resistencia contra ataques DOS causados por el agotamiento de recursos a través de verificación de credenciales u otros recursos ~18~
Información General - Reglamentaciones - Privacidad/Seguridad/Auditoría disponibles para usuarios anónimos. (Direcciones IP "fastidiosas" serán bloqueadas.) "Mejoras de seguridad" - La instalación de MOVEit DMZ incluye un procedimiento de varios pasos (TOTALMENTE documentados), el cual cubre el sistema operativo, el entorno de servicio Web, las permisiones y otras aplicaciones. "Contrafuegos" - MOVEit DMZ ofrece un manual detallado de configuración de contrafuegos para minimizar la confusión de los administradores. Además, MOVEit DMZ apoya el uso del IPSec nativo como contrafuegos (filtración de paquetes) para la segunda línea de defensa. "Custodia de Código" - El código fuente con las instrucciones de las versiones principales de MOVEit DMZ se guardan con terceros. "Revisión de código y Pruebas de Regresión" - Todo el código de MOVEit DMZ se pone a prueba a través de Revisión de código y el control de cambios se mantiene con la aplicación de SourceSafe de Microsoft. Las pruebas de regresión se hacen con cada versión con una batería de pruebas, la cual contiene miles de varias pruebas. "Autenticación con Factores Múltiples" - Cuando se la utiliza con el nombre de usuario, la dirección IP, las claves y certificaciones/claves de cliente ofrecen autenticación con uno, dos o tres factores. ~19~