Seguridad de servidores

Hoy en día, cualquier organización, independientemente del tamaño de la misma, dispone de su página web para divulgar por Internet su negocio, su identidad, su imagen...; desde la página más estática sin ningún tipo contenido, hasta la que cuenta con capacidad para realizar operaciones dentro de ella y dar un servicio directo a los usuarios de la misma.

Con todo esto, los servidores web donde se alojan cada una de estas páginas, han pasado a ser un blanco fácil para cualquier tipo de atacante.

Los ataques a estos servidores normalmente son los más llamativos, debido en gran medida a la necesidad que tenemos todos los usuarios de Internet de depender de él, por lo que es muy fácil divulgar un ataque, ya que en cuestión de segundos una gran mayoría de la población mundial se dará cuenta de que hay algo que se ha modificado en el servidor comprometido.

Llaves SSH

Las llaves SSH son un par de llaves criptográficas que pueden ser usadas para autenticarse en un servidor SSH; es un método alternativo al uso de contraseñas. La creación del par compuesto por llave pública y privada es llevada a cabo como un paso anterior a la autenticación. La llave privada la conserva el usuario de manera secreta y segura, mientras que la llave pública puede ser compartida con otros usuarios sin restricción.

Para configurar la autenticación mediante llaves SSH, debes colocar la llave pública del usuario en un directorio específico dentro del servidor. Cuando el usuario se conecta al servidor, éste requerirá una prueba de que el cliente tiene la llave privada asociada. El cliente SSH hará uso de la llave privada, respondiendo de tal forma que comprobará que se es propietario de la llave privada. A continuación, el servidor permitirá al cliente la conexión sin el uso de contraseña.

Cortafuegos

Un cortafuegos es una pieza de software (o hardware) que controla cuáles servicios se encuentran expuestos a la red. Es decir, que bloquean o restringen el acceso a todo puerto exceptuando únicamente aquellos que deben estar habilitados para el público.

Típicamente, en un servidor se encuentran diferentes servicios ejecutándose por defecto. Éstos pueden ser categorizados dentro de los siguientes grupos:

• Servicios públicos que pueden ser accedidos sin restricción en internet, normalmente de manera anónima. Un buen ejemplo de ésto es el servidor web que probablemente da acceso a su sitio.
• Servicios privados que solo deberían ser accedidos por un grupo selecto de cuentas autorizadas o desde lugares específicos. Un ejemplo de éstos, puede ser el panel de control de una base de datos.
• Servicios internos que solo deberían ser accedidos desde el mismo servidor, sin exponer el servicio al mundo exterior. Por ejemplo, éstos podrían ser una base de datos que solo acepta conexiones locales.

VPN y redes privadas

Las redes privadas son las redes que se encuentran habilitadas únicamente para ciertos usuarios o servidores. Por ejemplo, en DigitalOcean, la red privada está disponible en algunas regiones con la misma amplitud que la red del Centro de Datos.

Una VPN, de la sigla en inglés asociada a Red Privada Virtual, es una de las formas de crear conexiones seguras entre computadores remotos, presentándose como si éstos se encontraran en una red privada local. Esto permite configurar tus servicios como si estuviesen en una red privada, así como de conectar servidores de manera segura.

Infraestructura de llaves públicas y encripción SSL/TLS

La Infraestructura de Llaves Públicas o PKI, por su sigla en inglés, se refiere a un sistema diseñado para crear, administrar y validar certificados que identifiquen individuos y encripta la comunicación. Los certificados SSL o TLS pueden ser usados para autenticar diferentes entidades entre sí. Cuando la autentificación se ha llevado a cabo, también pueden ser usados para establecer una comunicación encriptada.

referencias

http://www.redseguridad.com/especialidades-tic/virtualizacion/seguridad-en-servidores-web-la-importancia-de-tener-un-sistema-seguro
https://www.digitalocean.com/community/tutorials/siete-medidas-de-seguridad-para-proteger-tus-servidores-es

Windows 2016 server

Novedades de Windows 2016 server

General

Las máquinas físicas y virtuales se benefician de una mayor precisión temporal gracias a las mejoras en los servicios de sincronización de hora de Hyper-V y Win32. Windows Server ahora puede hospedar servicios que cumplen con las próximas normas que requieren una precisión de 1 ms con respecto a UTC.

Hyper-V

Novedades de Hyper-V en Windows Server 2016. En este tema se explica la funcionalidad nueva y modificada del rol de Hyper-V en Windows Server 2016, el cliente Hyper-V que se ejecuta en Windows 10 y Microsoft Hyper-V Server 2016.

Contenedores de Windows: el contenedor de Windows Server 2016 agrega mejoras de rendimiento, una administración de red simplificada y compatibilidad para contenedores de Windows en Windows 10. Para obtener información adicional sobre los contenedores, consulta Containers: Docker, Windows and Trends (Contenedores: Docker, Windows y tendencias).

Nano Server

Novedades de Nano Server. Nano Server cuenta con un módulo actualizado para compilar imágenes de Nano Server, que incluye una mayor separación de la funcionalidad del host físico y la máquina virtual de invitado y compatibilidad con las diferentes ediciones de Windows Server.

También hay mejoras en la Consola de recuperación, como la separación de reglas de firewall de entrada y salida y la posibilidad de reparar la configuración de WinRM.

Máquinas virtuales blindadas

Windows Server 2016 proporciona una nueva máquina virtual blindada basada en Hyper-V para proteger cualquier máquina virtual de generación 2 de un tejido comprometido. Entre las características introducidas en Windows Server 2016 destacan las siguientes:

El nuevo modo "Cifrado admitido" que ofrece un nivel de protección mayor que el de una máquina virtual común, pero menor que el modo "Blindado", mientras se continúa admitiendo vTPM; el cifrado de disco; el cifrado de tráfico y Migración en vivo; y otras características, incluidas las facilidades en la administración directa del tejido, como las conexiones de consola de máquina virtual y Powershell Direct.

Soporte completo para la conversión de las máquinas virtuales no blindadas de segunda generación a máquinas virtuales blindadas, incluido el cifrado de disco automatizado.

Hyper-V Virtual Machine Manager ahora puede ver los tejidos sobre los que puede ejecutarse una máquina virtual blindada, lo que permite al administrador de tejidos abrir un protector de clave de la máquina virtual blindada y ver los tejidos sobre los que puede ejecutar.

Puede cambiar los modos de atestación en un Servicio de protección de host. Ahora puede cambiar sobre la marcha entre la atestación basada en Active Directory, menos segura pero más sencilla, y la atestación basada en TPM.

Las herramientas de diagnóstico integrales basadas en Windows PowerShell que pueden detectar configuraciones incorrectas o errores en ambos hosts protegidos de Hyper-V y el Servicio de protección de host.

Un entorno de recuperación que ofrece un medio para solucionar problemas y reparar máquinas virtuales blindadas dentro del tejido en el que se ejecutan normalmente ofreciendo al mismo tiempo un nivel de protección idéntico al de la propia máquina virtual blindada.

Compatibilidad con el Servicio de protección de host para proteger el entorno existente de Active Directory: puede dirigir el Servicio de protección de host para usar un bosque existente de Active Directory como su Active Directory en lugar de crear su propia instancia de Active Directory

Para obtener más detalles e instrucciones para trabajar con máquinas virtuales blindadas, consulta Shielded VMs and Guarded Fabric Validation Guide for Windows Server 2016 (TPM) (Máquinas virtuales blindadas y guía de validación de tejido protegido para Windows Server 2016 [TPM]).

Administración

El área Administración y automatización se centra en la información de referencia y las herramientas para profesionales de TI que desean ejecutar y administrar Windows Server 2016, incluido Windows PowerShell.

Windows PowerShell 5.1 incluye nuevas e importantes características, entre las que se incluyen el soporte para el desarrollo con clases y las nuevas características de seguridad, que amplían y mejoran su uso, y te permiten controlar y administrar entornos basados en Windows de manera más sencilla y completa. Consulta Nuevos escenarios y características de WMF 5.1 para obtener más información.

Las incorporaciones nuevas de Windows Server 2016 incluyen: la capacidad de ejecutar PowerShell.exe localmente en Nano Server (ya no solo de manera remota), nuevos cmdlets de usuarios y grupos locales para reemplazar la GUI y la incorporación de compatibilidad con la depuración de PowerShell y en Nano Server para la transcripción y el registro de seguridad y JEA.

A continuación se indican algunas de las otras nuevas características de administración:

Servicio de configuración de estado deseado (DSC) de PowerShell en Windows Management Framework (WMF) 5

Windows Management Framework 5 incluye actualizaciones a la configuración de estado deseado de Windows PowerShell (DSC), la Administración remota de Windows (WinRM) y el Instrumental de administración de Windows (WMI).

Para obtener más información sobre cómo probar las características de DSC de Windows Management Framework 5, consulta la serie de entradas de blog que se encuentran en Validación de características de la configuración de estado deseado de PowerShell DSC. Para realizar la descarga, consulta Windows Management Framework 5.1.

PackageManagement ha unificado la administración de paquetes para inventario, instalación y detección de software

Windows Server 2016 y Windows 10 incluyen la nueva característica PackageManagement (anteriormente denominada OneGet) que permite a profesionales de TI o de DevOps automatizar la detección de software, la instalación y el inventario, de manera local o remota, con independencia de la tecnología de instalador y de dónde se encuentra el software.

Mejoras de PowerShell para ayudar a realizar análisis forenses digitales y a reducir las infracciones de seguridad

Para ayudar al equipo responsable a investigar sistemas comprometidos, a veces conocido como el “equipo azul”, se ha agregado la funcionalidad adicional de registros de PowerShell y otra funcionalidad de análisis forenses digitales, ademá de una funcionalidad para ayudar a reducir las vulnerabilidades en scripts, como PowerShell restringido y API CodeGeneration seguras.

Seguridad y control

Incluye soluciones y características de seguridad para que los profesionales de TI implementen en su entorno de nube y centro de datos. Para obtener información sobre la seguridad en Windows Server 2016 en general, vea Seguridad y control.

Just Enough Administration (JEA) en Windows Server 2016 es la tecnología de seguridad que habilita la administración delegada para todo lo que se puede administrar con Windows PowerShell. Entre las capacidades se incluyen compatibilidad para la ejecución bajo una identidad de red, la conexión a través de PowerShell Direct, la copia segura a y desde puntos de conexión de JEA y la configuración de la consola de PowerShell para iniciar en un contexto de JEA de manera predeterminada. Para más información, consulta JEA en GitHub.

Credential Guard

Credential Guard usa la seguridad basada en virtualización para aislar los secretos de forma que solo el software de sistema con privilegios pueda acceder a ellos. Vea Protección de credenciales de dominio derivadas con Credential Guard.

Credential Guard remoto

Credential Guard incluye compatibilidad con sesiones RDP para que las credenciales de usuario permanezcan en el lado cliente y no se expongan en el lado servidor. También proporciona inicio de sesión único para las conexiones a Escritorio remoto. Consulta Proteger las credenciales de dominio derivadas con Credential Guard de Windows Defender.

Device Guard (integridad de código)

Device Guard proporciona integridad de código del modo kernel (KMCI) e integridad de código del modo de usuario (UMCI) mediante la creación de directivas que especifican qué código se puede ejecutar en el servidor. Consulta Introducción a Device Guard de Windows Defender: directivas de integridad de código y seguridad basada en virtualización.

Windows Defender

Información general acerca de Windows Defender para Windows Server 2016. Windows Server Antimalware está instalado y habilitado de forma predeterminada en Windows Server 2016, aunque no así su interfaz de usuario. A pesar de ello, Windows Server Antimalware actualizará las definiciones de antimalware y protegerá el equipo sin la interfaz de usuario. Si necesita la interfaz de usuario de Windows Server Antimalware, puede instalarla después de haber instalado el sistema operativo mediante el Asistente para agregar roles y características.

Protección de flujo de control

Protección de flujo de control (CFG) es una característica de seguridad de plataforma que se creó para luchar contra vulnerabilidades de corrupción de memoria. Para obtener más información, vea Protección de flujo de control.

Redes

Esta área abarca los productos y las características de redes dirigidos al profesional de TI para diseñar, implementar y mantener Windows Server 2016.

Ahora puede reflejar y enrutar tráfico a dispositivos virtuales nuevos o existentes. Junto con un firewall distribuido y los grupos de seguridad de red, esto le permite segmentar dinámicamente y proteger las cargas de trabajo de una manera similar a Azure. En segundo lugar, puede implementar y administrar por completo las redes definidas por software (SDN) con System Center Virtual Machine Manager. Por último, puede usar Docker para administrar las redes de contenedor de Windows Server y asociar directivas de SDN no solo con las máquinas virtuales, sino también con contenedores. Para más información, consulta Planificación de una infraestructura de red definida por software.

Mejoras en el rendimiento de TCP

El valor predeterminado del intervalo de congestión inicial (ICW) se ha aumentado de 4 a 10 y TCP Fast Open (TFO) se ha implementado. TFO reduce la cantidad de tiempo necesario para establecer una conexión TCP y el ICW aumentado permite la transferencia de objetos más grandes a la ráfaga inicial. Esta combinación puede reducir significativamente el tiempo necesario para transferir un objeto de Internet entre el cliente y la nube.

Para mejorar el comportamiento de TCP al realizar la recuperación de pérdida de paquetes, se han implementado Tail Loss Probe (TLP) y Recent Acknowledgement (RACK) en TCP. TLP ayuda a convertir los tiempos de espera de retransmisión (RTO) para recuperaciones rápidas y RACK reduce el tiempo necesario para que la recuperación rápida retransmita un paquete perdido.

Para mayor información sobre todo el tema ver la bibliográfica 
Bibliográfica  
https://docs.microsoft.com/es-es/windows-server/get-started/whats-new-in-windows-server-2016

Pistas de auditorias

Definicion :
En contabilidad, la pista de auditoría es la secuencia o colección de papeles, documentos y archivos digitales (entre otros) que validan o invalidad la contabilidad de una empresa durante una auditoría.
Este término no es exclusivo de un glosario de contabilidad, ya  se habla de pista de auditoría en términos digitales para rastrear la actividad digital. Por ejemplo, imagina que el empleado de una empresa dentro de una organización puede tener acceso a parte de una sección de toda su red como por ejemplo: contabilidad, pero no tiene acceso al resto de secciones. Si por lo que sea, ese empleado intenta entrar en una sección para la que no está autorizado, esta actividad queda también registrada en una pista de auditoria.

Para llevar a cabo las pistas auditoria existen tres requisitos :
1. Que cualquier transacción pueda ser seguida,desde el documento fuente que la originó,por medio del proceso a que es sometida,hasta las salidas (archivos, consultas por pantalla o informes) y los totales a los cuales se agrega.
2. Que cada salida o resumen de datos, se pueda seguir hacia atrás, hasta la transacción o cálculos que los produjeron.
3. Que cualquier transacción generada automáticamente,se pueda rastrear hasta el evento o condición que la generó.

El propósito de las pistas de la auditoria. Implosión permite rastrear una transición a que se sometió; explosión permite la reconstrucción de diferentes operaciones que se le realizaron a la transacción .

La importancia de las pista de auditoria,para se puede utilizar:

Consultas.

Para cumplir con necesidades legales.
Para propósitos de seguimiento.
Para descubrir fraudes. 
Como elemento de control.
Para determinar las consecuencias de un error.
Para fines de respaldo y recuperación.

También descrito como :

La pista de auditoría contiene archivos de auditoría binarios. La pista se crea mediante el daemon auditd. Una vez que el servicio de auditoría se haya habilitado con el comando orden bsmconv, el daemon auditd arranca cuando se inicia el sistema. El daemon auditd es responsable de recolectar los datos de la pista de auditoría y escribir los registros de auditoría.

Los registros de auditoría se almacenan en formato binario en los sistemas de archivos dedicados a los archivos de auditoría. Aunque se pueden ubicar físicamente directorios de auditoría en sistemas de archivos que no están dedicados a la auditoría, no lo haga, salvo para los directorios de último recurso. Los directorios de último recurso son directorios en los que los archivos de auditoría se escriben sólo cuando no hay ningún otro directorio adecuado disponible.

Existe otro escenario en el que ubicar directorios de auditoría fuera de los sistemas de archivos de auditoría dedicados puede ser aceptable. Puede hacerlo en un entorno de desarrollo de software en el que la auditoría sea opcional. Utilizar por completo el espacio en disco puede ser más importante que mantener una pista de auditoría. Sin embargo, en un entorno en el que la seguridad es una preocupación, colocar directorios de auditoría en otros sistemas de archivos no es aceptable.

También debe tener en cuenta los siguientes factores al administrar sistemas de archivos de auditoría:

• Un host debe tener al menos un directorio de auditoría local. El directorio local se puede utilizar como un directorio de último recurso si el host no se puede comunicar con el servidor de auditoría.
• Monte los directorios de auditoría con la opción de lectura-escritura (rw). Al montar directorios auditoría de forma remota, use también las opciones intr y noac.
• Visualice los sistemas de archivos de auditoría en el servidor de auditoría en el que residen. La lista de exportación debería incluir todos los sistemas que se están auditando en la ubicación

Tipos de auditoria:

Auditoría de la gestión: la contratación de bienes y servicios, documentación de los programas, etc.

Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.

Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas.

Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos.

Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio.

Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.

Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información.

Auditoría de las comunicaciones. Se refiere a la auditoría de los procesos de autenticación en los sistemas de comunicación.

Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.

para saber como crear una ver el video con el que muestra como crear auditoría de Bases de Datos SQL Server (hacer click en la palabra video para verlo ).