Protocolos de red
El Data Reviewer debe estar configurado para usar:
- HTTPS para la comunicación con los navegadores
- LDAP (sobre TLS) para la comunicación con un Active Directory
- SFTP para la comunicación con los instrumentos, siempre que sea posible (no todos los instrumentos son compatibles con SFTP)
Vulnerabilidades de HTTP y mitigación de riesgos
- Vulnerabilidades de HTTP
HTTP tiene poca seguridad inherente y puede utilizarse como mecanismo de transporte para ataques y gusanos. Los ataques más comunes son los de «hombre en el medio» y los de «escucha». - Mitigación de riesgos de HTTP
Si el servidor HTTP no es necesario, desactívelo. En caso contrario, utilice HTTPS en lugar de HTTP si es posible y solo permita el tráfico a dispositivos específicos.
Vulnerabilidades de FTP y mitigación de riesgos
- Vulnerabilidades del FTP
- El FTP utiliza una contraseña de acceso que no está encriptada
- El FTP es vulnerable a los ataques de desbordamiento del búfer y de rebote del FTP. El ataque de rebote del FTP utiliza un servidor FTP en modo pasivo para transmitir información a cualquier dispositivo de la red. Para comenzar el proceso de ataque de rebote, el atacante se conecta al servidor FTP que se utilizará como intermediario. Una vez conectado al servidor FTP, el atacante envía el comando PORT para dirigir todas las conexiones de datos a la dirección IP de destino ilegítima y al puerto TCP
- Mitigación de riesgos de FTP
- Permita las comunicaciones FTP solo para las sesiones salientes, a menos que estén aseguradas con una autenticación adicional de múltiples factores basada en tokens y en un túnel encriptado.
- Si es posible, utilice protocolos más seguros como:
- FTP seguro (SFTP)
- Configurar cada conexión de servidor individualmente
- Filtrar los paquetes para permitir el acceso solamente al servidor FTP