CornerCircleTop
CornerCircleBottom
VButtonBarBottom
Pàgina Inicial
Una per Dia
Articles
Directori
Biblioteca
Alertes
VButtonBarBottom
Una per Dia

Última Modificació del Document
11 de novembre de 2002


Una per Dia - Tornar a l'índex
Versió en català de "Una al día" d'Hispasec

10 de novembre de 2002 - Seguretat i teletreball

Cada vegada més, les empreses afavoreixen el teletreball. Quines implicacions té això per a la seguretat?

La majoria de treballs que realitzen els professionals de la informàtica han estat sempre tasques molt propenses a ser desenvolupades de forma remota pel treballador, sense que aquest degui desplaçar-se a l'oficina. No obstant això, les limitacions tecnològiques sempre han dificultat aquest tipus de treball. Actualment la situació està canviant. La difusió de les connexions a Internet amb un ample de banda acceptable, fa que cada vegada més empreses i treballadors es plantegin la possibilitat de desenvolupar la seva activitat professional (o part d'ella) de forma remota.

Obrir la xarxa corporatives a treballadors remots, que accedeixen (o no) a través d'Internet és realment una decisió molt important i que ha ser meticulosament analitzada abans de realitzar-se. Existeixen altres alternatives, com són com la utilització dels serveis de terminal (mitjançant Citrix o Terminal Server al món Windows) que, en la majoria de les situacions, són molt més recomanables.

Si s'opta per obrir l'accés a la xarxa corporativa als usuaris remots, cal adoptar diverses mesures, tant per a protegir la xarxa corporativa com per a protegir l'ordinador del teletreballador.

Hi ha un factor molt important a tenir en compte: si el teletreballador té accés a la xarxa corporativa i el seu ordinador és controlat per un atacant, automàticament l'atacant pot tenir accés a la xarxa corporativa.

Un recent estudi realitzat per SonicWALL en Estats Units mostra que el 83% de les empreses ja disposen de com mínim un treballador que realitza part del seu treball des del seu domicili. Més revelador és una altra dada revelada per aquest mateix estudi: un 43% dels teletreballadors accedeixen a la xarxa corporativa des del seu domicili, habitualment a través d'Internet.

El preocupant de l'informe és la poca importància que es dóna a les mesures de seguretat. Així si les tres quartes parts de les empreses estudiades realitzen una revisió de qui està autoritzat a accedir de forma remota, únicament una tercera part de les empreses analitza qui pot tenir accés a l'ordinador en la casa, a més del teletreballador.

Entre les mesures de seguretat adoptades en els ordinadors dels teletreballadors, una majoria significativa la basa en la utilització d'antivírics (81%) i tallafocs personals (71%). Altres mesures de protecció són menys habituals: 44% utilitzen programari per al filtrat del contingut i menys d'una tercera part utilitza xarxes privades virtuals.

Set línies de protecció

Qualsevol treballador que accedeixi de forma remota als recursos corporatius a través d'Internet hauria de disposar de, com a mínim, d'aquestes set línies de protecció:

  1. Traducció d'adreces de xarxa (NAT)
    La xarxa interna del treballador ha d'utilitzar un rang d'adreces privades. D'aquesta forma, les adreces internes de la xarxa no poden ser utilitzades a Internet sense que prèviament hagin estat convertides.

  2. Tallafocs/encaminador per a la connexió ADSL o cable
    La majoria dels encaminadors existents per a les connexions ADSL i de cable permeten aplicar regles de filtre de paquets. Per tant és necessari aprofitar aquesta prestació per a realitzar un filtrat del tràfic de sortida i entrada.

  3. Un tallafocs amb inspecció d'estat
    Els tallafocs amb inspecció d'estat no es limiten a analitzar que el tràfic està formatat d'una forma correcta (adreça IP d'origen i destinació vàlida, les marques correctes, protocol permès, etc...) sinó que van més enllà i comproven que el contingut del paquet sigui realment allò que s'espera.

    És molt aconsellable utilitzar un sistema de tallafocs amb inspecció d'estat com una mesura addicional de protecció al tallafoc de filtrat de paquets. Una màquina Linux amb Netfilter és un excel·lent tallafocs amb inspecció d'estat.

  4. Utilitzar tallafocs personals en cada sistema
    Els tallafocs personals són una combinació de tallafocs de filtrat de paquets i d'inspecció d'estat que s'executen a l'ordinador. Bàsicament el que fan és analitzar el tràfic de la xarxa, monitorizant i restringint els intents de connexió. Alguns tallafocs personals inclouen, a més, funcions pròpies de sistemes de detecció d'intrusos.

    Una de les característiques més interessants és que ens informen que aplicacions estan accedint a recursos remots. No és estrany que el NOTEPAD.EXE -bloc de notes- intenti connectar amb una adreça IP de Rússia?

    Conèixer aquest tipus d'activitat de la xarxa pot ser vital per a descobrir qualsevol incidència en l'ordinador.

  5. Verificació automàtica de ports oberts
    De forma periòdica cal realitzar una verificació dels ports oberts en la connexió, tant a nivell perifèric a l'encaminador ADSL/cable perifèric com als propis ordinador del treballador.

    L'existència de ports oberts pot indicar la instal·lació de software que actua com servidor o la presència de troians.

  6. Software antivíric
    No s'ha de considerar l'antivíric com un sistema de detecció de virus informàtics. Molts troians són també detectats. De fet, en moltes ocasions la primera alarma davant l'atac d'un ordinador ve donada pel propi antivíric.

    Cal configurar el software antivíric perquè realitzi l'actualització del fitxer de signatures de forma automàtica, com a mínim una vegada a la setmana.

  7. Verificació de vulnerabilitats
    De forma periòdica les estacions de treball dels teletreballadors han de ser verificades amb un sistema de verificació de vulnerabilitats amb l'objectiu de descobrir quin és el seu nivell de protecció davant les diverses vulnerabilitats existents. Una vegada descobertes aquestes, cal prendre les mesures adequades per a eliminar-les.

Altres mesures addicionals de protecció poden ser el encapsulament del tràfic amb destinació a la xarxa corporativa a través d'una xarxa privada virtual (VPN), on pot aplicar-se l'encriptació del tràfic. No obstant, una VPN pot ser totalment inútil si prèviament no s'han aplicat les altres mesures de protecció bàsiques.

Més informació

Security Issues on Home Teleworking over Internet
http://www.ieice.or.jp/cs/ia/jpn/conference/200111/Slides/rikitake.pdf

Silicon.com: Security the biggest barrier to widespread teleworking
http://www.silicon.com/public/door?REQUNIQ=
1036514510&6004REQEVENT=&REQINT1=56261&REQSTR1=newsnow

Teleworking hits security barriers
http://uk.news.yahoo.com/021105/152/ddxxs.html

Security Issues for Telecommuting
http://www.itl.nist.gov/lab/bulletns/archives/telecomm.htm

Telecommuting: Security Policies and Procedures for "Work-from-Anywhere" workforce
http://rr.sans.org/homeoffice/telecom.php

Best Computer Security Practices for Home, Home Office, Small Business, and Telecommuters
http://rr.sans.org/homeoffice/best_practices.php

eSecuring the Broadband Network
http://rr.sans.org/homeoffice/broadband.php

Remote Access –Protecting the Internal Network or, How to allow "them" in while keeping "them" out
http://rr.sans.org/firewall/remote_access.php

VPN Users: The weakest link. Consider these policy issues
http://techupdate.zdnet.com/.../main/0,14179,2875784-2,00.html

Secure Telecommuter Mini FAQ: How firewalls can protect you
http://telecommuting.about.com/library/weekly/aa020200a.htm

The 'inside-out' threat: the VPN solution's weakest link: VPN user
http://rr.sans.org/encryption/inside-out.php

Virtual Private Network (VPN) Security
http://rr.sans.org/encryption/VPN_sec.php

Xavier Caballé
xcaballe@quands.com
Contacte: info@quands.com