16 de marzo de 2011

Snow Leopard Fast Hardening

Tras 16 años utilizando equipos WINTEL, con pequeñas escaramuzas sobre Linux y algún clon de Unix hace un par de meses pasé al mundo MAC adquiriendo un IMac. La experiencia positiva con el Iphone 3G, único teléfono que me ha durado más de 18 meses (a día de hoy va camino de los 30 y lo que te rondaré morena), me decidí a dar el paso y sin tan siquiera probar una máquina virtual con el famoso MAC OS X (en cualquier de sus versiones de la jungla puma, jaguar, tiger, leopard, etc.) me lancé a la Apple Store y encargué mi “manzanita”.


Y con ella llevo más de dos meses contento y feliz, ningún problema de compatibilidad, videojuegos de Steam, una gran biblioteca software, mi Virtual Box para esas máquinas virtuales, la vida me sonríe en una pantalla de 21.5’’. O no, por que no podía creer que tuviera algunos fallos de configuración segura propios del comienzo de Windows XP, arremangado me cogí la guía de Snow Leopard Secure Configuration y di un cocotazo contra la mesa al ver las 272 páginas de seguridad. Buscando un poquito no encontré un “Proteja a su Leopardo en 10 pasos” (no vaya a coger frío con la snow :-p) así que me dije, voy a dejar aquí lo más interesante. En mi opinión es esto:

Mac OS X 10.6 Hardening 10 Tips:

1.- ¡Habilite la autenticación!: Esto quiere decir, que esté deshabilitado el login automático, que no se provea información de los usuarios del sistema en la pantalla de inicio, también podemos habilitar access warnings o bloqueo ante intentos reiterados, pero es algo más complejo. Lo sencillo, en General à Cuentas à Login Options

2.- ¡Habilite el protector de pantalla!: Esto es muy recomendable, no solo por ahorrar energía, siempre que nos levantemos del equipo este debe estar bloqueado. Podemos habilitar el protector de pantalla por ejemplo, a los 5 minutos y que solicite autenticación a la vuelta. Como aquí no existe la combinación Windows + L para bloquear la pantalla deberemos configurarlo nosotros, lo más sencillo es hacerlo a través de una de las esquinas:

3.- ¡Habilite el firewall!,,,¡y el Stealth Mode!: Pues si, el Snow Leopard viene con el firewall deshabilitado por defecto. Así que corriendo a General à Seguridad à Firewall a habilitarlo. También conviene que bloqueemos todas las conexiones entrantes o al menos que nos salte un warning. Un modo también recomendable a activar es el “Stealth Mode”, que hará al equipo “invisible” en la red. Esto es, que no responderá a tráfico ICMP. También tenemos un firewall de aplicación para permitir solo las conexiones de software firmado, muy recomendable.

4.- Instale un antivirus. Esto es básico, si todavía crees que en MAC OSX (Unix)no hay malware tengo una mala noticia. Hay, y cada vez habrá más, como desde Seguridad Apple nos contaban no es comparable con Windows por ahora pero si Steve Jobs se sigue esforzando en vender manzanitas, no tardará. En la página de Apple hay decenas de herramientas de seguridad, algunas antivirus, entre los gratuitos me gusta mucho el Sophos, curiosamente me detectó un troyano de Windows hace unos días :D

5.- Deshabilite la compartición de recursos (¡también en Itunes!). No es bueno ser tan generoso, deshabilita la compartición de recursos, carpetas, impresoras, todo. Deja exclusivamente lo que necesites, también en Itunes, por suerte hay algunos impresentables que NO lo hacen.

6.- Deshabilite los servicios no necesarios. Entre servicios no necesarios pueden ser de red (Bonjour), pero yo también metería aquí el Bluetooth, infrarrojos, wifi, etc. La regla es sencilla, si no lo utilizas no lo habilites.

7.- ¡Actualizaciones automáticas!. Actualizar, actualizar y actualizar, hasta que parezca que vengas del futuro. Está a dos clicks desde la manzanita de la esquina ;-) El equivalente de Secunia para Leopard o lo más parecido que hay es la MAC Apple Store (esto lo estoy suponiendo, no la tengo instalada) te revisará todo lo que hayas adquirido.

8.- ¡Habilite Firmware Password Utility! El EFI (Extensible Firmware Interfaz) en los equipos de Apple es el equivalente a la BIOS que todos conocéis. También debemos protegerla sobretodo para garantizar que no arranquen desde unidades externas o nos realicen ataques relacionados con la seguridad física. Esto deberemos realizarlo por el terminal de comandos:

9.- ¡Cifre!, ¡Cifre por Dios!. Gracias a la utilidad FileVault podemos cifrar todos nuestros documentos, mejor dicho, todo lo que tengamos dentro de “Mis Documentos”. Me consta que utiliza el algoritmo simétrico AES 256 bits, por lo que podemos estar relativamente tranquilos si no utilizamos una contraseña de diccionario y a pesar de algunos ataques que ya os conté por aquí. Este proceso tara un poquito la primera vez, por lo que es recomendable activar el FileVault desde el día 0. También podemos habilitar el cifrado de la memoria virtual que cifrará la partición SWAP.

10.- Concienciación. Siento defraudaros, no existe la medida 10, iba a introducir algo un poco raro como “deshabilitar las búsquedas de sistemas sobre nuestras carpetas más confidenciales” pero es un absurdo. La seguridad al fin y al cabo está en el usuario, en no abrir esos correos de procedencia dudosa, en no instalar el software que nos encontramos en redes P2P, en utilizar credenciales previsibles, en tener concienciación de que hay muchas cosas que nos podemos jugar a la hora de utilizar un ordenador, sea para disfrute personal o para el trabajo, es preciso que el usuario (tu, tus amigos, tus familiares) esté sensibilizado de las distintas amenazas que subyacen por el mero hecho de utilizar la tecnología, sea un ordenador, un teléfono, un GPS o una PlayStation 3.

Quizás os sepa a poco, podríamos hablar de borrado seguro de datos, de seguridad en Time Machine, de proteger las conexiones bluetooth,,,etc. Pero me conformo con que 3 o 4 de esos lectores habituales implementen estas 10, si todavía no se sienten seguros siempre pueden acudir a la guía oficial, coger los 272 folios y … ¡suerte!

Un saludo, en especial a esos pocos lectores que según veo por aquí, tengo desde Japón. Animo y un fuerte abrazo.

4 comentarios:

svoboda dijo...
Este comentario ha sido eliminado por el autor.
svoboda dijo...

Los consejos, son muy buenos. Tengo un Mac desde hace dos años y los tengo todos aplicados menos el 9. Solo tengo algunas unidades cifradas que utilizo de contenedores de información sensible. Es muy fácil hacerlo con la utilidad de discos.
Respecto a la guía oficial, también la tengo descargada y, aunque no tiene mala pinta, aún no he tenido narices de leerla, tanta página asusta.

jesux dijo...

Para bloquear el Mac utilizo control+mayusculas+(tecla de expulsar CD). Con eso apagamos el monitor.
Debemos activar la opcion de "solicitar contraseña tras iniciarse el reposo o el salvapantallas" en Preferencias del sistema//Seguridad

GigA ~~ dijo...

Svoboda*

Me alegro de que te hayan gustado, el 9 es muy importante para portátiles, si es un IMac pues no tanto ya que cuesta más "robarlo".

JesuX*
Precisando diría que con esa combinación no se apaga el monitor, se suspende el sistema. Veo más sencillo habilitar el salvapantallas desde un acceso directo en una esquina, en todo caso me gusta más la combinación de los equipos Windows, algún defecto había que sacarle a la manzanica :-S