Correo electrónico seguro. Introducción Seguridad en Servidores Seguridad en clientes de correo Gestión de contraseñas Para saber más...

Documentos relacionados
ADMINISTRACIÓN DE LA SEGURIDAD PERIMETRAL EN REDES LAN. Ing. Mg. Miguel Ángel Valles Coral.

Navegadores. Los navegadores. Privacidad. Oscar Herrero INTERNET SEGURO CEIP ARCIPRESTE DE HITA. Fuente:OSI

Recomendaciones para el uso del correo electrónico.

Seguridad Perimetral. Mg. Ing. M. Angélica Castillo Ríos Jefa de la Oficina de Sistemas PCM

DECÁLOGO DE SEGURIDAD

Seguridad Informática en Bibliotecas

BOLETÍN OFICIAL DEL ESTADO

Instrucciones de configuración del acceso remoto (VPN) de la UCLM para Windows, Mac y Linux

Soluciones BYOD para el aula. 24.Febrero.2016

Manual de configuración Internet Explorer

Suministro e instalación de una nueva Plataforma AntiSpam en la DSTI de ADIF.

UNIDAD 1: FUNDAMENTACIÓN DE LAS TIC ADMINISTRACIÓN DE OFFICE 365

ESET SMART SECURITY CONTACT CENTER LINEA 177

Manual para configurar el correo electrónico institucional

Universidad Autónoma del Estado de México ADMINISTRACIÓN Y SEGURIDAD EN SISTEMAS OPERATIVOS SEGURIDAD SOBRE WINDOWS POR: J. JAIR VÁZQUEZ PALMA

NORMAS DE ACCESO A INTERNET

Estudio de los riesgos relacionado con las redes Wi-Fi. A. Alejandro González Martínez

POLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L

2. Tipos de protección que hay actualmente (utiliza puntos). -Antivirus y cortafuegos.

OmniTouch 8400 Instant Communications Suite. My Instant Communicator para Microsoft Outlook Guía del usuario. Versión 6.7

Alcance y descripción del servicio. Creador Web IPLAN

ÍNDICE 1 Introducción 2 Internet Explorer Funciones principales 3 Internet Explorer Personalizar y Configurar

POLICÍA FEDERAL DIVISIÓN CIENTÍFICA ROBO DE IDENTIDAD EN INTERNET: USO INDEBIDO DE DATOS PERSONALES

Notas legales. Titularidad. Política de cookies (CN00302A)

Correo Electrónico Irakasle Manual Usuario

Configuración de Kaspersky Endpoint Security 10 SP1

Para entornos con más de un equipo conectados en red es necesario que el programa de firewall conceda paso a los servicios de Microsoft SQL Server.

Cómo desarrollar una Arquitectura de Red segura?

Configuración de firma digital en IE6 e IE7

Guía del Curso UF1353 Monitorización de los Accesos al Sistema Informático

COMO CAMBIAR CONTRASEÑA A MIS

Comprobaciones previas a la instalación del Pack de seguridad PC Karpersky

Red Inalámbrica. Conexión a EDUROAM con Microsoft Windows 10.

Guía de instalación rápida

WEB SEGURA CONTACT CENTER LINEA 177

Documento descriptivo del Servicio de Correo Electrónico (DOCE):

UD 6: Instalación y administración de servicios de correo electrónico SRI

MCTS Exchange Server 2010 Administración. Fabricante: Microsoft Grupo: Servidores Subgrupo: Microsoft Exchange Server 2010

ACCESO REMOTO. Manual de Administración del servicio Acceso Remoto Movistar. Versión 1.0

Seguridad de las contraseñas. <Nombre> <Institución> < >

Reporte de incidente de seguridad informática.

Política de Cookies. Los tipos de cookies que utiliza el Sitio Web son los siguientes:

Telefónica Soluciones SOC Grandes Clientes. Seguridad desde la Red

Aviso Legal sobre Cookies L.S.S.I.C.E. EMPLEO DE COOKIES

GUIA DE CONFIGURACION DE CUENTAS DE CORREO ELECTRONICO EN OUTLOOK EXPRESS

Implantación de la Pasarela de Pago Presencial. Pliego de Prescripciones Técnicas

Configuración cliente de correo CGAE

Configuración de correo Exchange (MAPI) en. Microsoft Outlook 2010

Seguridad Informática: Mecanismos de defensa

Administración de contenido web en servicios centrales

Principios Básicos de Seguridad en Bases de Datos

blogaer Blog de la Asociación Española de Radioescucha, AER

NORMAS DE USO DEL CORREO ELECTRÓNICO

LICENCIAS DEL SUPERVISOR X PARA CÁMARAS Y DISPOSITIVOS IP

MANUAL INSTALACIÓN Y USO CERTIFICADO DIGITAL EN OUTLOOK Versión 1.0

Configuración de Contactos para administradores

Nueva aplicación para acceder a casilla electrónica en Internet

Introducción a la Informática e Internet

Tabletas en el aula. Gestión de usuarios. Edición Autor: Fernando Posada Prieto canaltic.com

Guía rápida para FAMILIAS

Carpeta Virtual UC: Preguntas Frecuentes

Luis Villalta Márquez

Instrucciones para obtener el certificado electrónico de la FNMT

Guía del dispositivo de Bomgar B200 TM. Índice. BOMGAR BASE 3 Guía del dispositivo B200

Internet y Correo Electrónico. Isaac Bolea

Guía de configuración para sistemas WindowsXP

Administering System Center Configuration Manager

Web Privada. Documentación para el cliente. Pág. 1

Uso de gestores de contraseñas

Manual de usuario de configuración de Navegadores para Sede Electrónica del SEPE

Firma y validación de ficheros PDF con Acrobat 8

Administración de dispositivos móviles

INTERNET. Duración en horas: Introducción a Internet. 1.1 La Red de Redes. 1.2 Origen. 1.3 Internet hoy

Además, debido al incremento del parque informático actual se requiere aumentar la cantidad de licencias, ya que a la fecha resulta insuficiente.

MANUAL DE CONFIGURACION DE ADOBE PARA LA VALIDACION DE LA FIRMA DE UN DOCUMENTO

Medidas de seguridad. Tema 1 SAD. Vicente Sánchez Patón. I.E.S Gregorio Prieto

ADMINISTRACIÓN DE SERVIDORES BAJO WINDOWS 2012 MS20410: Instalando y Configurando Windows Server 2012

Descubre Drive. Encuentra tus archivos fácilmente con Drive y mantén todos los documentos seguros y protegidos.

1.4.1 Inicio de la computadora por primera vez Hay problemas Causas, síntomas y soluciones a posibles averías...

1. Introducción Generalidades Configuración del Equipo Instalación de Java... 3

Problemas de Seguridad Comunes en la UNAM. M.A. Manuel Quintero Ing. Demian García

CANTABRIA GOBIERNO DE

Instrucciones para Ingresar a su Cuenta de Correo. Nota:

Microsoft Word. Microsoft Word 2013 SALOMÓN CCANCE. Manual de Referencia para usuarios. Salomón Ccance CCANCE WEBSITE

GESTIÓN DE LA SEGURIDAD DE LOS DATOS EN ARCGIS ONLINE

... advanced access control software Guía de usuario. for

Documentación Técnica FortiGate: Conexión VPN. Cliente VPNSSL. Tunnel Mode VERSIÓN 1.0 DIRIGIDO A DIPUTACIÓN PROVINCIAL DE TERUEL USUARIOS

MANUAL MIGRACION CORREO A WINDOWS LIVE ESQUIPOS MOVILES

EXCH000e Configuración, Administración y Solución de Problemas de Microsoft Exchange Server 2010

Manual de Instrucciones para el uso con un ordenador

Formación al usuario en Microsoft Office 365

La seguridad informática en la PYME Situación actual y mejores prácticas

Certificado de puerto seguro

QUÉ ES GOOGLE CHROME?

Configuración de un navegador

DEFINICIÓN. Fuente de imagen: ica.blogspot.com.es/2015/03/ley delitos-informaticos.html

Ubuntu Server HOW TO : SERVIDOR DE IMPRESORAS

Solicitudes MINECO. Configuración del equipo para Firma y Registro de Solicitud IMV

Requisitos Técnicos. net cash

Guía práctica Windows 7 Registro y configuración Francisco Charte Ojeda

Transcripción:

Introducción Seguridad en Servidores Seguridad en clientes de correo Gestión de contraseñas Para saber más...

Introducción Cada vez es más frecuente escuchar, o en el peor de los casos sufrir, cómo las organizaciones tienen que enfrentarse diariamente a incidentes de seguridad que persiguen diferentes objetivos; información de uso restringido, datos de usuarios, contraseñas, datos bancarios, secretos industriales, e incluso la inutilización de los sistemas de la organización. Es por esta razón por la que los equipos de administración y seguridad deben poner especial énfasis en la fortificación y configuración segura de los sistemas que ofrecen estos servicios a los usuarios, eliminando así en la medida de lo posible la exposición del usuario final a estos riesgos (phishing, spam, APT, etc.). En esta guía se proponen una serie de buenas prácticas o líneas maestras que deberían ser tenidas en cuenta a la hora de configurar y administrar estos sistemas. Evidentemente, no es objeto de este documento establecer una configuración específica para cada servicio y si la de recordar diferentes aspectos que pudieran ser adaptados a las necesidades y características concretas de cada sistema. Es responsabilidad de los administradores de sistemas, desarrolladores, y equipos de seguridad, evitar en la medida de lo posible los incidentes de seguridad que pudieran producirse en el servicio de correo electrónico. Para ello, deben considerarse los aspectos relativos a la seguridad desde las fases iniciales de la implantación del servicio, y no como una funcionalidad que pueda ser añadida posteriormente. En este documento se enumeran una serie de recomendaciones a considerar en la definición y administración del servicio de correo, agrupadas por sus características funcionales. 2

Análisis de Riesgos Seguridad en servidores Entorno del servidor El entorno del servidor debe ser seguro y no verse amenazado por las vulnerabilidades que pudieran existir en otras aplicaciones o servicios de la organización. Para ello, es importante ubicar los servidores de correo, especialmente si estos tienen exposición a la red externa (Internet), en una zona de la red suficientemente aislada y controlada. Habitualmente esta zona será la DMZ de la red, convenientemente aislada del resto de las redes de la organización haciendo uso de cortafuegos que filtren los accesos desde Internet hasta nuestros servidores, así como desde estos al resto de redes de nuestra organización. Se debería considerar en la política de filtrado del firewall limitar todo el tráfico saliente SMTP únicamente a nuestro servidor de correo, evitando así que otras aplicaciones pudieran enviar correo directamente al exterior y limitando por tanto que algún otro servicio o equipo de usuario pueda verse utilizado como propagador de malware. Como regla general, en nuestro cortafuegos deberíamos permitir únicamente el acceso a los servicios expresamente habilitados para el correo (SMTP, POP e IMAP) y denegar cualquier otro tipo de acceso a los servidores de correo. Adicionalmente, estas reglas deberían también filtrar las redes desde las que se puede acceder a estos servicios, por ejemplo, limitando el acceso POP e IMAP únicamente a las redes de usuarios. Igualmente, sería deseable que existiera un elemento de detección y/o prevención de intrusiones que permitiese monitorizar o incluso identificar y detener cualquier tipo de ataque a la plataforma de correo, así como registrar tráfico anómalo que pudiera producirse. Es importante que los registros de estos sistemas sean analizados periódicamente por el equipo de seguridad para así verificar que el comportamiento de este elemento de seguridad sea el adecuado y que no se estén generando alertas que requieran algún tipo de revisión manual. 3

Configuración segura de los servidores De manera análoga al resto de servidores, es necesario que los servidores que alojan los servicios de correo electrónico cumplan una serie de requisitos de seguridad que vendrán definidos por nuestra política de seguridad. En esta política de seguridad deberían contemplarse aspectos tales como: Instalación únicamente de los servicios y aplicaciones necesarios para la prestación del servicio y eliminación o, en su defecto, desactivación de todos aquellos servicios que no son imprescindibles para el servicio o para la administración de los equipos. Necesidad de mantener un inventariado de sistemas y versiones de aplicaciones, con objeto de poder aplicar correctamente y de manera ágil las actualizaciones y parches del sistema operativo y aplicaciones, especialmente aquellos que impliquen algún problema de seguridad. Mantenimiento de una política de gestión de usuarios, control de accesos y permisos que permita la correcta administración de los servidores para que, a su vez, garantice la confidencialidad de la información alojada. Monitorización continua y revisión y auditorías periódicas para la detección de amenazas o mejora de los servicios. Seguridad en servicios de correo Adicionalmente a las medidas de seguridad adoptadas en el nivel de red, así como las propias acometidas en el sistema operativo, es necesario también establecer una serie de medidas de seguridad específicas para los servicios de correo electrónico y que respondan a las necesidades propias de dicho servicio y a los problemas de seguridad que con más frecuencia afectan a estos. Entre los métodos de ataque más habituales nos encontramos los que, aprovechando errores en la configuración de los servicios, utilizan estos para el envío de campañas de malware, bien hacia nosotros mismos o utilizando nuestros servicios como pasarela hacia un tercero, lo que dificulta la localización del origen del ataque. Para prevenir este tipo de ataques, es necesaria una revisión de las configuraciones establecidas y comprobar que se cumplen una serie de requisitos mínimos de seguridad. Entre estos requisitos tendríamos que verificar, que no es posible utilizar el servicio de correo como relay por parte de terceros para el envío de correos electrónicos. Para ello, la configuración del servicio debería permitir únicamente el envío o clientes de correo autenticados, con lo que sólo se permitiría la utilización de la plataforma de envío a los usuarios legítimos del sistema. 4

Análisis de Riesgos El punto anterior tiene el problema, lamentablemente es habitual en muchos casos, de que un atacante consiga las credenciales de un usuario legítimo, con lo cual estaría habilitado para el envío de correos desde nuestros sistemas. Para evitar o paliar esta deficiencia, se debería restringir el envío de correos únicamente a las direcciones IP de la red de usuarios o de aquellos servicios que estén autorizados para el envío de correos. También, como medida limitante en cuanto a quién puede remitir correos, es recomendable utilizar medidas (DKIM, SPF, DMARC 1 ) en los servidores que verifiquen los servidores autorizados para enviar correo para cada dominio. Igualmente, se deberían establecer mecanismos de filtrado de mensajes (antivirus y antispam) que eliminen o, al menos, alerten sobre posibles amenazas que provengan de mensajes maliciosos. Auditorías del sistema Una vez establecidas las medidas de seguridad necesarias en nuestros sistemas, y de manera previa a su paso a producción, se debería realizar una auditoría de seguridad de la plataforma completa para verificar que se cumple nuestra política de seguridad y, además, para comprobar que no existen vulnerabilidades en los sistemas de correo ni en los métodos de acceso a este. Esta auditoría del sistema debería repetirse periódicamente para revisar que todos los sistemas están actualizados y verificar que siguen sin fallos de seguridad conocidos. 1 DKIM: DomainKeys Identified Mail. Mecanismo de autenticación de correo electrónico que permite a una organización responsabilizarse del envío de un mensaje, de manera que éste pueda ser validado por un destinatario. Dicha organización puede ser una fuente directa del mensaje. SPF: Sender Policy Framework. Mecanismo de protección contra la falsificación de direcciones en el envío de correo electrónico identificando, a través de los registros de nombres de dominio (DNS), a los servidores de correo SMTP autorizados para el transporte de los mensajes. DMARC: Domain-based Message Authentication, Reporting and Conformance. Sistema de validación de correo diseñado para detectar y prevenir la suplantación de identidad en el correo electrónico (mail spoofing). 5

Seguridad en clientes de correo Los clientes de correo electrónico son uno de los puntos más críticos del servicio por tres motivos principales; en primer lugar, porque suelen estar menos controlados y monitorizados que las plataformas de correo electrónico; por otra parte, porque son el punto de entrada de la mayoría de las amenazas en los equipos de escritorio; y, en tercer lugar, porque los usuarios no suelen tener unos conocimientos avanzados sobre la gestión de dichos clientes ni de las configuraciones idóneas de estos. Si unimos estos tres factores podemos entender por qué los clientes de correo son un elemento crítico y, por tanto, es necesaria una configuración acorde a las medidas de seguridad del lado servidor. Hay que tener en cuenta los diferentes métodos de acceso, y por tanto los diferentes clientes y configuraciones, que podemos tener para acceder al correo electrónico. En primer lugar, podemos considerar los métodos de acceso desde un equipo de escritorio, por ejemplo, el cliente de correo (Outlook, Thunderbird...) o el acceso mediante un servicio web a través del navegador. En cualquier caso y como medida general, se deberán establecer medidas de seguridad sobre el sistema operativo del equipo y, posteriormente, realizar una configuración segura del cliente de correo o del navegador. Estas medidas de seguridad deberían contemplar, al menos, los siguientes aspectos: Los sistemas operativos y las aplicaciones deberían ser actualizados periódicamente y de forma automática para evitar fallos de seguridad en los mismos. Debería existir una política de usuarios y permisos que no permitan al usuario tener permisos de administración del equipo. Además de los antivirus instalados en los servidores de correo, los equipos deberían tener un software antivirus propio, y a ser posible de otro fabricante, para evitar infecciones por virus. Los equipos de usuario deberían tener activado el servicio de firewall. Adicionalmente, los clientes de correo deberían configurarse de manera segura y, si es posible, de manera que los usuarios no pudieran modificar esta configuración, con objeto de evitar posibles errores por la manipulación de la misma. Como medidas de seguridad en la configuración de los clientes de correo se recomiendan las siguientes: Utilizar de protocolos seguros (SSL/TLS) tanto para el envío como para la recepción de correos. Desactivar de la carga de contenidos externos y la reproducción automática de contenidos (JavaScript, ActiveX). No almacenar las contraseñas en la configuración del cliente de correo para evitar acciones automáticas sin el conocimiento por parte del usuario. 6

Análisis de Riesgos En cuanto a los navegadores, se deberían contemplar los siguientes aspectos: No permitir el autoguardado de formularios y contraseñas. Establecer una contraseña maestra para acceder a certificados o cualquier tipo de información privada. Desactivar la reproducción de contenido remoto dentro de los correos electrónicos. Limitar la instalación de addons y complementos de terceros. Cerrar la sesión de manera automática y eliminar historial y cookies una vez se cierre la ventana del navegador. Por otra parte, tenemos que considerar que, además de los clientes de escritorio, cada vez es más habitual el acceso al correo electrónico (y otros servicios corporativos) desde dispositivos móviles (smartphones, tablets, etc.). Estos dispositivos deben ser tratados de igual manera que los equipos de escritorio y mantener las mismas medidas de seguridad (actualización periódica, software antivirus, limitación en permisos de usuario, etc.). Además, tenemos que considerar algunos riesgos adicionales propios de estos dispositivos, como pueden ser: Estos dispositivos están más expuestos a riesgos como el extravío o el robo de los mismos, por lo que debemos asegurarnos de establecer algún mecanismo de control de acceso que no permita a un tercero acceder a los contenidos ni al control del mismo. Es importante tener especial cuidado al acceder a redes públicas y, en cualquier caso, establecer medidas que cifren toda la información intercambiada con los servidores de correo. 7

Gestión de contraseñas El establecimiento de una política de usuarios y contraseñas adecuada a las necesidades de nuestra organización es esencial a la hora de implementar las medidas de seguridad de esta. Esta gestión de usuarios y contraseñas es la primera línea de defensa frente al acceso no autorizado a la información contenida en los equipos y en los servidores remotos, por lo que deberemos determinar una serie de condiciones de seguridad mínimas en cuanto a las características de la mismas, así como los periodos de renovación de estas. Todas estas condiciones y medidas de seguridad deberían estar definidas en la política de seguridad de la organización. Es importante que nuestras contraseñas sean robustas y, sobre todo, secretas. Para ello, y a modo de ejemplo, podemos considerar los siguientes aspectos de seguridad a la hora de elegir una: Deben tener una longitud adecuada. Cuanto mayor es el número de caracteres en la contraseña, mayor es el tiempo que se necesitaría para adivinarla por métodos de fuerza bruta, por lo que se recomienda una longitud mínima de ocho caracteres. No deben utilizarse palabras conocidas (que se encuentren en un diccionario) ni variaciones de estas, así como nombres propios o lugares ya que este tipo de contraseñas son muy rápidas de romper. Los caracteres de las contraseñas deben incluir la mayor variedad posible de estos, de manera que comprendan mayúsculas, minúsculas, números y signos de puntuación. Esto hace que el número de combinaciones posibles aumente mucho y, por tanto, mayor sea la complejidad a la hora de adivinar la contraseña. Es importante no reutilizar claves, de manera que tengamos una clave diferente para cada servicio diferente. Para evitar la complejidad que puede suponer el establecimiento de muchas claves, podemos inventar algún patrón que sigamos en el establecimiento de las contraseñas y que nos ayude a recordarlo, pero que a la vez haga que cada contraseña sea diferente a las demás. A la hora de recordar todas las contraseñas podemos hacer uso de sistemas gestores de contraseñas, que almacenan estas de forma segura y protegen el acceso a estas por medio de, al menos, una contraseña maestra, siendo recomendable el uso de autenticación doble para el acceso al gestor. Como medida de seguridad adicional, se deberían establecer políticas de seguridad que obliguen a los usuarios a cambiar la contraseña periódicamente, evitando la reutilización de estas y, por tanto, minimizando el riesgo que puede suponer el compromiso de alguna cuenta de usuario. 8

Correo electrónico Análisis de seguro Riesgos Para saber más... Aprende a identificar los correos electrónicos maliciosos: https://www.osi.es/actualidad/blog/2014/08/18/ aprende-identificar-correos-electronicos-maliciosos.html SPAM https://www.osi.es/actualidad/blog/2014/02/03/mi-bandeja-de-entrada-se-llena-de-correosde-gente-que-no-conozco.html Cómo crear y recordar contaseñas seguras: http://blogthinkbig.com/crear-contrasenas-seguras/ Aprende a gestionar tus contraseñas: https://www.osi.es/es/contrasenas.html Decálogo de medidas de seguridad en correo electrónico. https://www.incibe.es/blogs/post/ Empresas/BlogSeguridad/Articulo_y_comentarios/medidas_seguridad_correo_electronico Seguridad en correo electrónico: Lucha contra phishing y spam. https://www.incibe.es/blogs/ post/seguridad/blogseguridad/articulo_y_comentarios/seguridad_en_correo_electronico- Seguridad en Correo electrónico: Guía 814 CCN-STIC https://www.ccn-cert.cni.es/pdf/guias/series-ccnstic/800-guia-esquema-nacional-de-seguridad/524-ccn-stic-814-seguridad-en-servicio-de-correo.html Decálogo de Navegación segura. https://www.gdt.guardiacivil.es/webgdt/cusuarios.phplibro gratuito x1redmássegura. https://www.gdt.guardiacivil.es/webgdt/x1red+segura.php Cómo protegerse frente a los correos electrónicos de spam y el phishing http://www.kaspersky.es/internet-security-center/threats/spam-phishing Guía de seguridad para usuarios. http://www.pandasecurity.com/spain/ mediacenter/src/uploads/2014/07/guia-seguridad-pymes.pdf Gestores de contraseñas: http://www.xataka.com/seguridad/gestores-decontrasenas-que-son-como-se-usan-y-cual-es-el-mejor Gestión de contraseñas: https://www.incibe.es/file/hgpibgsjvfs4i-uihph70w Recomendaciones creación y uso de contraseñas seguras: https://www. incibe.es/file/34kwnfa27q5r5qpwdb9hgg Más info en: www.andaluciacert.es 9

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback