Recomendaciones de seguridad del servidor preferido

Prácticas recomendadas de seguridad para la configuración preferida del servidor

Este artículo describe recomendaciones de seguridad críticas para configurar servidores preferidos para garantizar una aplicación segura y eficiente de las actualizaciones en su entorno. Estas pautas abordan el uso de los protocolos HTTPS y SMB, los métodos de autenticación adecuados, los requisitos de FQDN (nombre de dominio completo) y las configuraciones que minimizan los riesgos asociados con conexiones inseguras.

Recomendaciones clave de seguridad

1. Evite el uso de direcciones IP

   Los servidores preferidos deben configurarse para utilizar nombres de dominio completos (FQDN) en lugar de direcciones IP sin formato. Esto garantiza la compatibilidad y seguridad entre protocolos:

   • Para HTTPS:

     • Los certificados deben coincidir con el FQDN del servidor. El uso de una dirección IP para la URL del servidor invalidará el certificado.

     • Un certificado no válido puede comprometer la integridad de los datos y deshabilitar por completo la validación del certificado aumenta significativamente el riesgo al permitir ataques del tipo "man-in-the-middle".

     • Valide siempre los certificados y, si no coinciden, bloquee la conexión para mantener la seguridad.

   • Para SMB (rutas UNC):

     • La autenticación Kerberos, el método preferido, requiere el uso de un FQDN. Sin ella, la autenticación recurrirá a NTLM, que es menos segura.

2. Prefiero la autenticación Kerberos

   Kerberos debería ser el método de autenticación predeterminado siempre que sea posible, ya que es más seguro que NTLM:

   • Por qué Kerberos es mejor:

     • Las contraseñas nunca se envían al servidor de destino. En cambio, Kerberos utiliza billetes firmados y validados por un controlador de dominio para otorgar acceso al servidor.

     • Los billetes son específicos del servidor y no se pueden reutilizar para acceder a otros equipos, lo que reduce el riesgo de uso indebido de credenciales.

   • Alternativas a NTLM:

     • NTLM v1 nunca debe utilizarse ya que es muy vulnerable a ataques como el descifrado de hash.

     • NTLM v2 se puede utilizar como alternativa, pero es menos seguro que Kerberos. Aumente la longitud de las contraseñas para fortalecer las protecciones NTLM v2 contra ataques de fuerza bruta.

3. Versión y configuración del protocolo SMB

   Las versiones y configuraciones del protocolo SMB juegan un papel importante en la seguridad de las transferencias de archivos. Siga estas pautas:

   • Deshabilitar SMB v1:

     • Está desactualizado, es inseguro y está deshabilitado de forma predeterminada en los sistemas modernos. Nunca habilite ni utilice SMB v1.

   • Habilitar la firma SMB (SMB v2):

     • Protege contra ataques de repetición al garantizar que cada mensaje esté verificado.

   • Prefiero SMB v3 con cifrado:

     • SMB v3 admite tanto la firma como el cifrado. El cifrado protege los datos en tránsito, por lo que incluso los usuarios de la misma red no pueden ver el contenido de los archivos.

4. Escribir vs. Leer credenciales

   Distinga entre credenciales de escritura (utilizadas por el agente de sincronización) y credenciales de lectura (utilizadas por los puntos de conexión) al configurar servidores preferidos:

   • Escribir credenciales:

     • Estos son más sensibles ya que permiten que el Agente de sincronización cargue archivos al Servidor preferido. Aplique siempre configuraciones seguras (por ejemplo, Kerberos o SMB v3 con cifrado) para las operaciones de escritura.

   • Leer credenciales:

     • Utilizado por los puntos de conexión para recuperar actualizaciones. Si bien se prefieren las configuraciones seguras, restringirse únicamente a protocolos seguros podría generar problemas de compatibilidad con sistemas más antiguos. Equilibrar los requisitos de seguridad con las necesidades operativas.

5. Modos de seguridad predeterminados

   Se recomiendan las siguientes configuraciones de seguridad predeterminadas para entornos para proteger las configuraciones del servidor preferido:

   • Imponer conexiones seguras para operaciones de escritura:

     • El agente de sincronización solo debe utilizar configuraciones SMB seguras al escribir en el servidor preferido. Rechace configuraciones inseguras como SMB v1 o NTLM v1.

     • Si el administrador decide permitir conexiones SMB inseguras, esto aumentará el riesgo.

   • Permitir conexiones inseguras para operaciones de lectura (opcional):

     • Para los puntos de conexión que utilizan credenciales de lectura, permita el uso de protocolos menos seguros si es necesario para brindar soporte a sistemas heredados o sin parches. No obstante, limite esto a escenarios específicos y tenga en cuenta los riesgos.

6. Seguridad de contraseñas y credenciales

   Asegúrese de que existan prácticas de autenticación sólidas:

   • Utilice contraseñas complejas, preferiblemente de más de 14 caracteres, para mitigar el descifrado de contraseñas por fuerza bruta para NTLM v2.

   • Evite los métodos de autenticación básicos, como transmitir nombres de usuario y contraseñas en texto simple o codificación base64.

Resumen

Si sigue las recomendaciones anteriores, podrá reducir la exposición a riesgos de seguridad y, al mismo tiempo, mantener la compatibilidad en toda su organización. Priorice siempre la autenticación Kerberos, utilice FQDN, aplique el cifrado SMB v3 y valide los certificados cuidadosamente para lograr una configuración de servidor preferido segura.

Póngase en contacto con el soporte de Ivanti para obtener más ayuda.