Joven hacker sonriendo

REQ.033 Restringir acceso administrativo

En el presente documento se detallan los requerimientos de seguridad relacionados a la administración de los sistemas. Por lo tanto, para el presente requerimiento se recomienda que todo sistema con mecanismo de administración sea accesible sólo por determinados segmentos de red de gestión.

Requisito

Si el sistema posee un mecanismo de administración, este debe ser accesible sólo desde segmentos de red de gestión o administrativos.

Descripción

Se debe limitar el acceso de red a módulos o mecanismos de administración de un sistema solamente a las partes que requieren acceso a ellos (administradores), personal que no tiene necesidades, labores u obligaciones administrativas no debe tener entrada a estos mecanismos. El seguir esta recomendación cumple con el objetivo de reducir la superficie de ataque a los sistemas en cuestión (así un tercero malintencionado no podrá intentar acceso directo a la administración del sistema) y aumenta el nivel de confidencialidad y disponibilidad del sistema.

Implementación

  1. Principio de mínimo privilegio: Para cada sistema que se encuentre en la organización se debe garantizar que cada módulo (como un proceso, un usuario o un programa) pueda ser capaz de acceder solo a la información y recursos que son necesarios para su legitimo propósito.[1]

Soluciones

  1. Consultoría - Aprender Teoría Básica de Riesgos

  2. ISO 27005 - Gestión de riesgos para un SGSI con ISO 27005

  3. WebLogic 11g Desactivar Consola de Administración.

  4. WebLogic 11g Cambiar Dirección de Administración.

  5. IIS 7.5 Negar Acceso a Consola Administrativa.

  6. Oracle 11g Cambiar Puerto Predeterminado.

  7. SQL Server 2008 Cambiar Puerto Predeterminado.

Ataques

  1. Atacante anónimo intenta acceder por fuerza bruta a una interfaz de administración expuesta lo que puede causar denegación del sistema, de cuentas o acceso a la interfaz de administración y/o al sistema.

  2. Atacante anónimo y/o usuarios con sus propias cuentas explota una vulnerabilidad conocida en el sistema de administración que puede permitir el acceso al sistema, denegación del sistema o elevación de privilegios para un usuario o proceso del sistema.

  3. Atacante anónimo consigue información técnica del sistema mediante el análisis de los datos que entrega la interfaz de administración, para realizar ataques más detallados y profundos.

Atributos

  • Capa: Capa de Aplicación.

  • Activo: Administración del sistema.

  • Alcance: Confidencialidad.

  • Fase: Operación.

  • Tipo de Control: Recomendación.


Estado de los servicios - Términos de Uso