Foro de elhacker.net

Hola,
Creo que alguien ha intentado acceder a uno de los ordenadores de nuestra oficina. Al abrir un correo me saltó un mensaje del antivirus, y en el Panda Internet security, me aparecen unas direcciones IP bloqueadas.

Quiero tomar medidas antes de nada. Algún consejo para securizar la red, aparte de tener los equipos actualizados, con antivirus actualizados, con una buena política de contraseñas y tener abiertos los puertos que sean necesarios?

Nuestro miedo es que por algún correo nos envíen algo y que no nos demos cuenta que están accediendo a nuestros equipos.

Muchas gracias a tod@s.   

La pregunta el accéso a sido de fuera a dentro o de dentro a fuera, ya que si salto el antivirus después de abrir un email y se bloquearon unas direcciónes es mas probable que el mail contuviera un malware y éste se conectara al exterior.

Como teneis montada la red? Teneis hardware físico o por software? Teneis los puntos de accéso suficientes y bien controlados? Teneis contraseñas wap/wap2? Para securizar la red, primero debe estar correctamente montada.

No vale la pena securizarla al máximo, si luego tienes un punto de accéso perdido por donde alguien pudíese conectarse.

Añado: Se deberían tener políticas de buenas prácticas y no dejar a los trabajadores o tu como jefe o el cargo que tengas utilizar emails personales, deberían assignar cuentas personales de la empresa para cada miembro y utilizarlas solo para cuestiónes de trabajo. Aparte de esto, por si algúna vez llega un correo con spam o malware, tener cabeza y no abrirlo.

En cuanto a la configuración del punto de acceso, creo que esa parte está bien. Se está usando la configuración wpa/wpa2. Los pcs, se conectan por cable, y para los portátiles se usa filtrado mac.

Lo del acceso, mi interpretación ha sido que el correo tenía algún tipo de malware y que por eso el antivirus lo ha eliminado directamente. Ahí empezó nuestra curiosidad, y empezamos a mirar los bloqueos del antivirus. Hasta ese momento no nos dimos cuenta que teníamos direcciones bloqueadas por el firewall.

Y como no.. es cuando te das cuenta de cómo tienes las cosas. Somos una empresa pequeña, pero tenemos datos importantes, y nos ha entrado miedo, nos hemos propuesto intentar poner bien las cosas. Los equipos están actualizados, con antivirus actualizados, y la wifi con wpa. Esa ha sido nuestra política de seguridad hasta la fecha. Sería interesante poner algún tipo de hardware para controlar este tipo de incidentes? El tráfico interno, lo podemos controlar, pero nos da miedo que se nos escape el malware que entra por el correo y que alguien pueda coger "control" sobre nuestros sistemas. Me queda un poco grande controlar esos puntos, os agradecería un montón vuestros consejos.

Mil mil gracias!

Los bloqueos de los que hablas en el firewall, son de tráfico de salida o de entrada, de entrada supongo verdad? que tipo de evento es el que muestra el firewall? (por lo general es "medianamente" normal)
Que tipo de "bicho" saltó en el AV? (revisa el historico)

Y sobre GPO? dime que los empleados no andan "sueltos" con cuentas de tipo admin.

Saludos

La verdad es que ... no controlamos mucho de estas cosas y la cosa está a medias. Siento decepcionarte... pero... si... los empleados andan sueltos con permisos de administrador. Ok, es por donde tengo que empezar.

Lo del bicho del antivirus, solo me dice que ha bloqueado un correo en ese día, pero no me deja ver cual es. Y, lo del firewall, de entrada. En panta internet security, solo aparece la direccion de ip bloqueada por intento de conexión. 

Bien, ahora que aclaramos algúnas cosas y vas viendo cosas a mejorar, decirte que el firewall, por lo general un firewall mediante software es suficiente pero yo, si tuviera una empresa pondría uno físico.

La cuestión es que el tipo software se puede vulnerar, cualquier malware o lo salta, o lo desactiva. Uno tipo  físico, un malware ya puede hacer lo que quiera que no lo desactivará. Además bajo mi punto de vista, los firewall físicos el control de puertos és mas fiable por la razón de que uno mediante software se puede vulnerar.

Bueno, cosas que podrías plantearte:

- Que cortafuegos usar? físico/software.
- Empleados: pequeña formación básica, políticas de buenas prácticas.
- Revisión de la seguridad de la red: Puntos de accéso, contraseñas. conexiónes inalámbricas...
- Almacenamiento de los datos (servidor,cada uno en su pc y viva la virgen), backups, accésos por parte del personal (permísos)...
- Web y correo: Limitar accéso a ciertas webs (facebook...), sistema de correo electrónico..
- Aplicaciónes: Capar aplicaciónes como emule o similares, donde muchos trabajadores pueden aprovechar y descargar cosas (entre ellas malware).

No te pongo todo ésto para que te pongas a revisarlo urgentemente, te lo pongo y seguro que hay muchas mas cosas a revisar, ya que de vez en cuando se debe evaluar el sistema en conjunto y siempre mejorar o actualizar en la medida de lo que se pueda.

Sí, le daremos una pensada a este tema. Porque reconozco que no nos ponemos las pilas hasta que un señor llamado "ataque" entra por la puerta de nuestra oficina porque se la hemos dejado abierta. Como solamente ha sido un susto... es el momento para ir cambiando poco a poco la configuración.

Un firewall hard, cuanto puede costar? Son muy caros? Somos una oficina con ocho empleados, ese es el trafico a controlar.

Está muy bien que me hagas estas preguntas, porque me paro en más puntos de los que había pensado yo de antes.

El cortafuegos y los empleados, puntos a revisar y a tener en cuenta. El punto de acceso y las conexiones inalámbricas, ok. Almacenamiento de datos y backups, ok. Accesos de los usuarios a la red, ok (pero son admin de sus equipos, por lo tanto, punto a revisar). La navegación, libre. La instalación de las aplicaciones, no está controlado, los empleados están avisados de que no se pueden instalar. Otro punto a revisar.

Muchas gracias

 

Antes que nada, si no tienes a una persona capacitada para utilizar una solucion de firewall mejor que ni te lo plantees.

Apliances de marca y de calidad baratos, pues fortinet tiene versiones SOHO de sus aparatos como los fortigate 30b, 50b y 51b

Luego tienes soluciones mas baratas con linux o BSD. Hay empresas que te venden un ordenador monoplaca que viene con las caracteristicas justas para correr un IPCOP o un PFSENSE. Lo normal es que te vendan el aparato preinstalado, la implantación y a parte el mantenimiento o servicio técnico.

Evidentemente tambien puedes dedicar un ordenador viejo y poner una de estas soluciones firewall linux/BSD.

Los precios míralos tu mismo en internet porque depende de cada país.

Si eliges la última opción es imprescindible tener a una persona competente encargada del tema.

Muchas gracias por vuestra ayuda.
Un saludo,

No voy a cuestionar ni muchísimo menos lo que han dicho los otros users que saben mucho más que yo, pero desde mi humilde punto de vista, no creo que debas ser tan "paranoico" con la seguridad como para contratar a alguien especializado (que te vas dejar una pasta) para mejorar la seguridad de una oficina de 8 empleados. Siendo una empresa tan pequeña, con unos buenos hábitos debería de bastar (cuentas limitadas e informar un poco a tu plantilla de los peligros que te han comentado como bajarse cosas, etc). Como idea que no he visto mencionada, te puedo decir que pienses en pasarte a Ubuntu en tu oficina. Es mucho más seguro que Windows y no es complicado de usar, con él te quitarías muchos problemas. Bueno espero haberte ayudado, sino haz caso a los de arriba que saben bastante.

Nadie a dicho que contrate a nadie, me encanta como os inventáis las cosas, lo que dije es que si pone una solución de seguridad de las anteriores alguien deberá hacerse cargo de ellas.

Y haciendo lo mismo que tu has hecho, desde luego que todos en la oficina aprendan a usar otro sistema operativo y otras aplicaciones me parece lo menos práctico que he oido en mucho tiempo :xD

Exacto, es poco practico como dice Torete ya que si pones ubuntu, tus empleados deberían recibir una formación no solo del sistema operativo, sinó del software nuevo a utilizar en caso de tener de cambiarse.

Por otra parte, frsk, imagina que se trata de una oficina de proyectos de ingenieria (por ejemplo), la información almacenada, no solo serán anteriores proyectos que són útiles de consultar, sinó que habrán presupuestos, información de contactos...de todo!. imagina que por un descuido todo eso se pierde. Te quedas sin ná.

Vamos a ver. Antes de decir nada dejé bien claro que no tenía ni tengo ninguna intención de liarla con mi opinión, así que no os piquéis xd.


Si esas medidas de seguridad implican la contratación de personal específico (como es el caso) yo, personalmente, lo veo demasiado para una pequeña empresa. Eso es simplemente lo que he dicho, que no creo que tenga que ser experto en seguridad informática para decir eso pero bueno.


Tienes razón. El problema es que no sabemos en qué trabajan ni cómo trabajan. Por eso, sugerí la opción de Ubuntu. En el caso que la oficina pues se hagan tareas más bien administrativas (presupuestos y cosas de ese estilo), no creo que sea una mala inversión de tiempo y dedicación el aprender a usar el OpenOffice que viene preinstalado en Ubuntu (que la verdad es que no tiene una gran complicación). Gnome es bastante intuitivo y se parece a windows, tampoco hace falta que todos los empleados sepan manejarse por consola, ¿no? Dije esa opción porque quizás merezca más la pena el parón de una mañana para instalar/explicar/aprender Ubuntu, que invertir cientos de euros (sin exagerar) en seguridad. Otra cosa sería que en su oficina trabajaran con software específico y sólo compatible con Windows. Pero no sé, tampoco veo tan descabellada mi idea xD.


Edito: Casualmente me acabo de encontrar con esto: http://foro.elhacker.net/noticias/buenas_previsiones_sobre_el_crecimiento_de_linux_en_los_proximos_anos-t307726.0.html;msg1528039;topicseen#msg1528039

Gracias por vuestras aportaciones.

Para aclarar la duda que teniais, trabajamos con planos de autocad y solidworks más que nada, y veo que es la parte más complicada de cambiar.

He pedido un par de presupuestos del tema del firewall físico. Si vemos que se nos escapa... optaremos por un equipo viejito que tenemos con un pfsense.

y, el resto de los puntos, a revisarlos e intentar ponerlo bien.

Muchas gracias por todo.

Hombre! autocad y solidwords, yo hace algunos años estuve en verano en una oficina tecnica trabajando con esos programas. Imagino que será de ingenieria  ;).

Bueno, pues si te van surgiendo dudas ya sabes, aquí estamos.