Una de las preguntas más comunes que he escuchado respecto a la configuración segura que exige la norma es, "De que se trata y donde consigo las Plantillas de configuración que me pide PCI".

En la norma, el punto de control 2.2, pide que se desarrollen normas de configuración para los componentes del sistema, que en estas se contemplen la resolución de vulnerabilidades de seguridad conocidas y por último que estas normas elaboradas concuerden o estén basadas en los documentos emitidos como normas de alta seguridad y que sean aceptadas por la industria.

Como parte del punto de control se aclara en 2.2.a, que estas normas de configuración de sistemas de la organización incluyan a todos los equipos y que estén elaboradas en base y contemplando las mejores prácticas y recomendaciones aceptadas por la industria, en este caso ya haciendo referencia a entidades como: SysAdmin Audit Network Security (SANS), National Institute of Standards Technology (NIST) y Center for Internet Security (CIS) [Ver referencia].

El problema de esta exigencia radica en el desconocimiento de las fuentes a las que se puede acceder para tomar los referentes necesarios para esta documentación requerida y adicionalmente el significado de que comprende el cumplimiento del mismo.

 Una vista de pájaro

En pocas palabras, el PCI busca que se establezca una norma clara para loa configuración de los sistemas, tanto nuevos como aquellos en producción, en la que se contemplen los puntos de la norma referentes al tema. Adicionalmente se deberá establecer la documentación necesaria para realizar una configuración y endurecimiento de los sistemas y la forma en la que se revisara el cumplimiento de la misma y la documentación y generación de entregables para el QSA.

Desarrollo de normas de configuración - Para el desarrollo de la norma o política de configuración, se debería contemplar en la misma como mínimo:

• La creación de plantillas de configuración, que serán basadas en recomendaciones de industria y serán aplicadas en los sistemas pertenecientes al ambiente de tarjetas de pago
• Los sistemas pertenecientes al ambiente se mantendrán en una instalación de función única para cada servidor
• Se deshabilitara de estos sistemas todos los servicios, protocolos que sean inseguros o que no sean necesarios
• Configurar adecuadamente los parámetros de seguridad de los componentes de los sistemas.

Adicionalmente puede ser el lugar apropiado para incluir:

• Eliminar todas las funcionalidades innecesarias, tales como secuencias de comandos, drivers, funciones, subsistemas, sistemas de archivos y servidores web innecesarios.
• Solo se usaran accesos administrativos seguros y encriptados como SSH, VPN o SSL/TSL para acceder públicamente a los sistemas.
• Cambiar los valores predeterminados de los sistemas operativos y aplicaciones a instalar.
• Se realizara un análisis de vulnerabilidades en todo sistema nuevo, el cual solo entrara a producción luego de resolver cualquier encuentro.

Plantillas de configuración - En las plantillas es donde conviene la revisión de los documentos publicados por organizaciones como CIS, NIST o NSA. Para este caso se debe seleccionar la plantilla que corresponde al sistema operativo, aplicación o servicio y luego se debe revisar cada parámetro recomendado.

Con estas se debería elaborar un documento en el que se contemple cuales son los parámetros de sistema que se aplicaran, que configuraciones adicionales o cambios se realizaran en el sistema.

Revisión de cumplimiento - Para este punto, existen dos formas de ejecución, la primera es la revisión manual con una lista de cumplimiento (checklist) y la segunda que es más apropiada y racional, apoyándose en un sistema que permita la revisión automatizada y la generación de un informe de incumplimiento.

Para el caso de las aplicaciones mencionadas, por lo general uno inicia revisando plantillas internas en las que uno ajusta los valores a revisar basándose en las plantillas generadas. Luego se ejecuta un análisis contra los equipos que comparara cada parámetro con la configuración y reportara cada configuración que no esté alineada a la plantilla.

Estas aplicaciones generan documentación que por lo general deberán servir como muestra para cualquier auditor calificado "QSA".

Conclusión

El PCI DSS establece de forma clara las regalas bajo las cuales deben configurarse todos los elementos pertenecientes al ambiente de tarjetas de pago y nos presenta todas las consideraciones respecto a los controles que se deben establecer para lograr una seguridad base. Siendo clara la posición del estándar, lo que se debe hacer es crear la norma o mejorar la que se tiene para que incluya los puntos requeridos; establecer las plantillas y configurar los sistemas. Considerando la documentación de todo el proceso que va a ser de utilidad como documentación a entregar al auditor. Y finalmente revisando trimestralmente que los equipos sigan configurados de la forma que se establece en la norma y las plantillas generadas. Nuevamente se debe considerar que lo que pide el estándar, es siempre una línea base sobre la que podemos construir continuamente una mejor seguridad.

Referencias:

SysAdmin Audit Network Security (SANS).- http://www.sans.org/

• Políticas

National Institute of Standards Technology (NIST).- http://www.nist.gov/index.html

• Information Technology
• Computer Security
• Publicaciones
• Repositorio de recomendaciones

Center for Internet Security (CIS).- http://cisecurity.org

• CIS Benchmarks

National Security Agency (NSA).- http://www.nsa.gov/

• Guías de Configuración

Aplicaciones de análisis automatizado de políticas:

Las siguientes son algunas de las herramientas que conozco hacer una buen trabajo en el análisis de políticas en la red, de estas las dos primeras las he podido usar siendo estas sobresalientes en el trabajo que realizan.

Qualys - Policy Compliance

• http://www.qualys.com/products/qg_suite/policy_compliance/

Nessus - Tenable

• http://www.nessus.org/products/professional-feed/index.php?view=compliance_checks

Policy Comander

• http://www.policycommander.es/

IT Sentinel

• http://www.opnet.com/solutions/network_planning_operations/it_sentinel.html

En la norma PCI-DSS

En Procedimientos de evaluación de seguridad y requisitos de las DSS de la PCI, v1.2

Pág. 19, 2.2 .- Desarrolle normas de configuración para todos los componentes de sistemas. Asegúrese de que estas normas contemplen todas las vulnerabilidades de seguridad conocidas y que concuerden con las normas de alta seguridad de sistema aceptadas en la industria.

Pág. 19, 2.2.a .- Evalúe las normas de configuración de sistema de la organización para todos los tipos de componentes de sistema y controle que las normas de configuración de sistema concuerden con las normas de alta seguridad aceptadas en la industria, por ejemplo, SysAdmin Audit Network Security (SANS), National Institute of Standards Technology (NIST) y Center for Internet Security (CIS).

Exploración de PCI DSS: Comprensión del objetivo de los requisitos; versión 1.2

Pág. 19, Guía - 2.2 .- Existen debilidades conocidas en muchos sistemas operativos, bases de datos y aplicaciones de empresas, y también existen formas conocidas de configurar estos sistemas para arreglar las vulnerabilidades de seguridad. Para ayudar a quienes no son expertos en seguridad, las organizaciones de seguridad han establecido recomendaciones de alta seguridad de sistema, que aconsejan cómo corregir estas debilidades. Si no se eliminan estas debilidades de los sistemas, como una configuración de archivo débil o servicios y protocolos predeterminados (para los servicios o protocolos que generalmente no son necesarios), un atacante puede usar distintos puntos vulnerables conocidos para atacar servicios y protocolos vulnerables y, así, obtener acceso a la red de la organización.

Bueno hasta encontrar el tiempo para escribir artículos mas extensos, seguiré escribiendo una seria de artículos chicos con novedades que les pueden ser de interés.

Hoy una recomendación para quienes buscan probar productos de primera.

Como es de conocimiento de muchos la empresa Qualys, se dedica a productos para la gestión de vulnerabilidades, cumplimiento de políticas y otros similares.

Esta empresa ya desde hace unos meses como parte de la promoción y crecimiento normal de su catalogo de productos, nos ofrece tres paquetes gratuitos que nos pueden ayuda a mantener nuestra página segura, libre de vulnerabilidades y a probar sus productos que la verdad a mi me parecen de los mejores del mercado.

1. Qualys Guard gratis por 15 días. Si este es el producto estrella de la compañía, que además de ofrecernos un producto estrella para la detección y control de vulnerabuilidades, nos ofrece una suite completa para el seguimiento y gestión de implemento de la norma PCI-DSS.

Descripción del producto: http://www.qualys.com/products/qg_suite/

15 días gratis: http://www.qualys.com/forms/trials/qualysguard/

2. Un Scan Completo gratuito para un IP. Con el que puedes comparar y comprobar las bondades más básicas del producto completo o para quienes les es útil una herramienta para una sola IP publica.

http://www.qualys.com/forms/trials/qualysguard_free_scan/

3. GOSecure. Una herramienta que te permite analizar tu pagina, blog o sitio web para saber si en el están sembrados distintos tipos de amenazas. Cosa que permite saber que neutro sitio no es una amenaza para el resto.

http://www.qualys.com/products/qg_suite/GO_SECURE/

Pruebenlos, si les gustan contacten a la compañía para que un especialista los visite, seguro les ofrecera la suite completa de sus productos de forma gratuita para una evaluación, incluyendo el apliance que permitirá revisar su red interna (Sin costo alguno, ellos corren incluso con el costo de envio y devolución). Si todo esto sin costo.

Si necesitan, escriban en la hoja de contactos de esta pagina y les envío el nombre y dirección completa del representante de Qualys para que lo contacten directamente.

Adicionalmente el mismo se va convirtiendo en un elemento fundamental para las normativas de seguridad como PCI-DSS en las cuales es una imposición.