10 configuraciones del IE para una navegación más segura
Pida, en una sala llena de especialistas de seguridad, una lista de configuraciones de seguridad que hagan seguro de usar el Internet Explorer (IE) y escuchara risas o el consejo de obtener un nuevo navegador tal como Firefox de Mozilla, Opera ó Chrome de Google.
Enfrentamiento de Navegadores: IE 8 vs. Firefox
Batalla de navegadores: Firefox 3.1 vs. Chrome vs. IE 8
Aun cuando Microsoft ha trabajado con diligencia para mejorar la seguridad en su navegador aquejado de problemas, especialmente en IE7 y el recientemente liberado IE8, los profesionales de seguridad sencillamente no le confían. La mayoría ha cambiado a navegadores alternativos, especialmente a Firefox [Vea: Microsoft Libera IE8, Refuerza la Seguridad]
Pero la intoxicación de seguridad que encuentran los profesionales de seguridad en Firefox y otros alternativos viene con una gran resaca. Cuando uno se levanta después de una noche de aventuras en línea con uno de los navegadores alternativos, la dura realidad es que no podrá nunca alejarse por completo del IE. La razón obvia es que IE está tan estrechamente integrado dentro del sistema operativo Windows, a pesar que algunas voces de la industria han llamado a Microsoft para divorciarlo del SO. [Vea: Experto de Seguridad: Microsoft debe amputar el IE del Windows]
"No vamos a ser capaces de escaparnos del IE en el mundo corporativo en el futuro cercano," dijo Christopher Mendlik, un analista de amenazas de Wachovia. Más allá de la estrecha integración con Windows, está la simple realidad que algunas aplicaciones de negocios solo funcionan con IE. En CSOonline y otras tiendas de medios, por ejemplo, los programas usados para poner contenido en linea tienden a ser alérgicos con los navegadores que no son IE.
Aquellos que no tienen otra opción que usar IE se han volcado a ciertos mecanismos para arreglárselas.
Mendlik elije fijar el IE con políticas de grupo (GPO), mantenerse al día con los nuevos parches y usar filtrado de contenidos en un proxy/firewall con listas negras de actualización en tiempo real. También monitorea las conexiones internas y las salientes como un águila en busca de cualquier actividad inusual.
Thomas Evans, un administrador de seguridad de red de Cleveland, sugiere instalar Sandbox for IE, el cual le permite a los usuarios correr cualquier programa en una "caja de arena" (sandbox) y confinar cualquier daño a la caja de arena y el registro virtual. "Cuando la sesión (de navegación) termina, se puede borrar todo lo asociado con esta de forma segura. Si uno se descargó algo mediante una descarga conducida (drive-by) no puede salir de allí para hacer ningún daño," dijo.
Además de estas medidas, CSOonline fue en busca de 10 configuraciones esenciales de seguridad para hacer que un paseo en linea a bordo del IE sea más seguro. Aquí está la lista de esos 10 provista por Jeff Forristal, un experimentado ingeniero de seguridad del proveedor de seguridad Zscaler:
1. Deshabilite los documentos XPS
Herramientas/Opciones de Internet/solapa Seguridad/Zona de Internet/Nivel personalizado/Documentos XPS: Deshabilitar. Los documentos XPS son un formato de imagen nuevo que se introdujo en Vista, dijo Forristal. Los atacantes han estado haciéndose un día de campo explotando los formatos de imagen/documento y los parsers, de modo que mientras menos formatos soporte con su navegador, mejor.
Contra: Esto puede afecta la visualización de documentos XPS simples, pero se puede conseguir un viso de XPS de MS que no requiere IE, dijo.
2. Deshabilitar la descarga de fuentes
Herramientas/Opciones de Internet/solapa Seguridad/Zona de Internet/Nivel personalizado/Descarga de fuentes: Deshabilitar.
Los sitios Web puede ofrecer que su navegador descargue e instale un archivo con la fuente apropiada para mostrar correctamente caracteres internacionales cuando se ve una página Web. Esto es, si embargo, otro formato de archivo y vector de ataque que podría albergar vulnerabilidades desconocidas o no descubiertas, dijo Forristal. Si no suele navegar sitios web fuera de su idioma normal, entonces realmente no necesita eso.
Contra: Esto podría hacer que algunas páginas se vean un poquito menos lindas, pero Forristal dice que aun así serán usables.
3. Deshabilitar la inclusión del camino del directorio local de archivos cuando se suben archivos a un servidor.
Herramientas/Opciones de Internet/solapa Seguridad/Zona de Internet/Nivel personalizado/Incluir camino de directorio de archivos local cuando se suben archivos a un servidor: Deshabilitar.
Cuando fuera que suba un archivo a un servidor Web (tal como una imagen a su blog o a su cuenta de Flickr), el navegador tiene la opción de enviar solo el nombre del archivo o el camino completo del archivo, aunque el sitio solo necesita el nombre del archivo, dijo Forristal. Esto resulta en una preocupación de privacidad benigna porque la ruta completa del archivo incluye información de identificación tal como su nombre de usuario para el ingreso en la computadora. Enviar "c:\Users\jforristal\Pictures\blog.gif" expone mi nombre de usuario "jforristal," señaló.
Contra: Nada obviamente negativo.
4. Deshabilitar preguntar si uno es proclive a dar clic en "si"
Herramientas/Opciones de Internet/solapa Seguridad/Zona de Internet/Nivel personalizado/(varios).
Muchas de las semi-opciones de seguridad en la solapa de zona de seguridad tienen por defecto la opción "preguntar", lo que significa que le pregunta que hacer. Si uno es proclive a seleccionar siempre que "si" sea cuando fuera que se le aparezca una ventana emergente (no es un buen hábito!), puede eliminar la tentación simplemente cambiando todas las opciones en "preguntar" al valor "deshabilitar". Esto usualmente es seguro si no suele uno recibir muchas consultas.
Contra: Nada obviamente negativo.
5. Preguntar siempre por el usuario y contraseña
Herramientas/Opciones de Internet/solapa Seguridad/Zona de Internet/Nivel personalizado/Autenticación de usuario/Logon: Preguntar por usuario y contraseña.
Para los usuarios hogareños y otros que usan computadoras que no están en un ambiente de empresa que use Active Directory, no hay ventaja de tener habilitado un auto-logon ya que no hay prácticamente nada a lo que querrá tener auto-logon en Internet, dijo. Normalmente IE limitará este comportamiento de auto-logon a los sitios de la zona de Intranet, pero ¿que pasaría sin un atacante lo engaña y le hace cree que un sitio web está en una zona diferente?. No hay motivo para arriesgarse por una característica que no necesita, para nada, dijo.
Contra: Nada obviamente negativo.
6. Deshabilitar el soporte de SSL 2.0
Herramientas/Opciones de Internet/solapa Avanzado/Usar SSL 2.0: sin marcar.
SSL2 ha sido declarado inseguro desde hace mucho y no es apropiado para usar según los reguladores de las instituciones financieras, señalo Forristal. Cualquier sitio web en el mundo que solo soporte SSL2 y nada mas nuevo (como SSL2 o TLS) es o bien algo que no es bueno o tan viejo que está lleno de vulnerabilidades, haciéndolo proclive a estar comprometido por un hacker y por lo tanto no es nada bueno.
Contra: Nada obviamente negativo.
7. Habilitar el soporte TLS
Herramientas/Opciones de Internet/solapa Avanzado/Usar TLS 1.0: marcado
TLS es una evolución de SSL, ofrece más mejoras de seguridad y extensiones que SSL3. Su uso está garantizado, y por lo tanto esta característica debe esta habilitada.
Contra: Nada obviamente negativo.
8. Deshabilitar la búsqueda desde la barra de direcciones URL
Herramientas/Opciones de Internet/solapa Avanzado/Buscar desde la barra de direcciones: No buscar desde la barra de direcciones
A Forristal personalmente no le gusta la idea de que cada error de copiar y pegar o de tipeo u otras cosas ingresadas en la barra de dirección URL sea enviado automáticamente hacia los motores de búsqueda como términos de búsqueda. Existe la posibilidad de que suceda una situación de divulgación de información. Por eso esta sugerencia.
Contra: Nada obviamente negativo.
9. Deshabilitar los agregados innecesarios
Herramientas/Opciones de Internet/solapa Programas/Administrar el botón de Agregados
Hay muchas herramientas de terceros que se añaden solas dentro de nuestro navegador. Cada una es técnicamente un camino para que potencialmente un atacante lo ataque, y por eso, deseará deshabilitar tantas como sea posible, dijo Forristal.
Contra: Desafortunadamente no siempre es obvio lo que hay que dejar y que debe ser deshabilitado, dijo Forristal.
Pero los usuarios deben examinar cuidadosamente la lista para ver si algo les salta a la vista como algo que no es mas necesario. Por ejemplo, preguntó, "¿Sigue usando Skype después de haberlo probado hace unos meses atrás? Luego uno puede deshabilitar con seguridad el agregado de Skype en el navegador.
10. Desinstalar viejas instalaciones de Java
(Vista) Menú Inicio/Panel de control/Programas y características.
Por alguna extraña razón, las nuevas versiones de Java a veces instalan completamente una nueva versión en lugar de actualizar las viejas existente. Esto puede ser problemático porque un atacante aun puede utilizar versiones viejas, y aquellas pueden albergar fallas de seguridad arregladas en la versiones más nuevas. De modo que Forristal sugiere verificar sus lista de aplicaciones instaladas, bajar hasta 'Java' y conservar la versión mas alta instalada eliminando las demás. "Cuando está allí, también es un buen momento de recorrer la lista y eliminar cualquier otra cosa que ya no use -- de nuevo, una menor superficie de ataque," dijo.
Contra: Nada obviamente negativo.
"La mayoría de las opciones señaladas, con la excepción de desinstalar versiones antiguas de Java, se pueden deshacer con seguridad simplemente cambiando un tilde o un botón de opción de configuración," dijo Forristal. "Así que está bien experimentar e intentar con estas configuraciones; si alguna le da problemas, sencillamente revierta el cambio y todo volverá a ser normal."
Traducción exclusiva de Segu-info: Raúl Batista
Autor: Bill Brenner
Fuente: NetworkWorld
Enfrentamiento de Navegadores: IE 8 vs. Firefox
Batalla de navegadores: Firefox 3.1 vs. Chrome vs. IE 8
Aun cuando Microsoft ha trabajado con diligencia para mejorar la seguridad en su navegador aquejado de problemas, especialmente en IE7 y el recientemente liberado IE8, los profesionales de seguridad sencillamente no le confían. La mayoría ha cambiado a navegadores alternativos, especialmente a Firefox [Vea: Microsoft Libera IE8, Refuerza la Seguridad]
Pero la intoxicación de seguridad que encuentran los profesionales de seguridad en Firefox y otros alternativos viene con una gran resaca. Cuando uno se levanta después de una noche de aventuras en línea con uno de los navegadores alternativos, la dura realidad es que no podrá nunca alejarse por completo del IE. La razón obvia es que IE está tan estrechamente integrado dentro del sistema operativo Windows, a pesar que algunas voces de la industria han llamado a Microsoft para divorciarlo del SO. [Vea: Experto de Seguridad: Microsoft debe amputar el IE del Windows]
"No vamos a ser capaces de escaparnos del IE en el mundo corporativo en el futuro cercano," dijo Christopher Mendlik, un analista de amenazas de Wachovia. Más allá de la estrecha integración con Windows, está la simple realidad que algunas aplicaciones de negocios solo funcionan con IE. En CSOonline y otras tiendas de medios, por ejemplo, los programas usados para poner contenido en linea tienden a ser alérgicos con los navegadores que no son IE.
Aquellos que no tienen otra opción que usar IE se han volcado a ciertos mecanismos para arreglárselas.
Mendlik elije fijar el IE con políticas de grupo (GPO), mantenerse al día con los nuevos parches y usar filtrado de contenidos en un proxy/firewall con listas negras de actualización en tiempo real. También monitorea las conexiones internas y las salientes como un águila en busca de cualquier actividad inusual.
Thomas Evans, un administrador de seguridad de red de Cleveland, sugiere instalar Sandbox for IE, el cual le permite a los usuarios correr cualquier programa en una "caja de arena" (sandbox) y confinar cualquier daño a la caja de arena y el registro virtual. "Cuando la sesión (de navegación) termina, se puede borrar todo lo asociado con esta de forma segura. Si uno se descargó algo mediante una descarga conducida (drive-by) no puede salir de allí para hacer ningún daño," dijo.
Además de estas medidas, CSOonline fue en busca de 10 configuraciones esenciales de seguridad para hacer que un paseo en linea a bordo del IE sea más seguro. Aquí está la lista de esos 10 provista por Jeff Forristal, un experimentado ingeniero de seguridad del proveedor de seguridad Zscaler:
1. Deshabilite los documentos XPS
Herramientas/Opciones de Internet/solapa Seguridad/Zona de Internet/Nivel personalizado/Documentos XPS: Deshabilitar. Los documentos XPS son un formato de imagen nuevo que se introdujo en Vista, dijo Forristal. Los atacantes han estado haciéndose un día de campo explotando los formatos de imagen/documento y los parsers, de modo que mientras menos formatos soporte con su navegador, mejor.
Contra: Esto puede afecta la visualización de documentos XPS simples, pero se puede conseguir un viso de XPS de MS que no requiere IE, dijo.
2. Deshabilitar la descarga de fuentes
Herramientas/Opciones de Internet/solapa Seguridad/Zona de Internet/Nivel personalizado/Descarga de fuentes: Deshabilitar.
Los sitios Web puede ofrecer que su navegador descargue e instale un archivo con la fuente apropiada para mostrar correctamente caracteres internacionales cuando se ve una página Web. Esto es, si embargo, otro formato de archivo y vector de ataque que podría albergar vulnerabilidades desconocidas o no descubiertas, dijo Forristal. Si no suele navegar sitios web fuera de su idioma normal, entonces realmente no necesita eso.
Contra: Esto podría hacer que algunas páginas se vean un poquito menos lindas, pero Forristal dice que aun así serán usables.
3. Deshabilitar la inclusión del camino del directorio local de archivos cuando se suben archivos a un servidor.
Herramientas/Opciones de Internet/solapa Seguridad/Zona de Internet/Nivel personalizado/Incluir camino de directorio de archivos local cuando se suben archivos a un servidor: Deshabilitar.
Cuando fuera que suba un archivo a un servidor Web (tal como una imagen a su blog o a su cuenta de Flickr), el navegador tiene la opción de enviar solo el nombre del archivo o el camino completo del archivo, aunque el sitio solo necesita el nombre del archivo, dijo Forristal. Esto resulta en una preocupación de privacidad benigna porque la ruta completa del archivo incluye información de identificación tal como su nombre de usuario para el ingreso en la computadora. Enviar "c:\Users\jforristal\Pictures\blog.gif" expone mi nombre de usuario "jforristal," señaló.
Contra: Nada obviamente negativo.
4. Deshabilitar preguntar si uno es proclive a dar clic en "si"
Herramientas/Opciones de Internet/solapa Seguridad/Zona de Internet/Nivel personalizado/(varios).
Muchas de las semi-opciones de seguridad en la solapa de zona de seguridad tienen por defecto la opción "preguntar", lo que significa que le pregunta que hacer. Si uno es proclive a seleccionar siempre que "si" sea cuando fuera que se le aparezca una ventana emergente (no es un buen hábito!), puede eliminar la tentación simplemente cambiando todas las opciones en "preguntar" al valor "deshabilitar". Esto usualmente es seguro si no suele uno recibir muchas consultas.
Contra: Nada obviamente negativo.
5. Preguntar siempre por el usuario y contraseña
Herramientas/Opciones de Internet/solapa Seguridad/Zona de Internet/Nivel personalizado/Autenticación de usuario/Logon: Preguntar por usuario y contraseña.
Para los usuarios hogareños y otros que usan computadoras que no están en un ambiente de empresa que use Active Directory, no hay ventaja de tener habilitado un auto-logon ya que no hay prácticamente nada a lo que querrá tener auto-logon en Internet, dijo. Normalmente IE limitará este comportamiento de auto-logon a los sitios de la zona de Intranet, pero ¿que pasaría sin un atacante lo engaña y le hace cree que un sitio web está en una zona diferente?. No hay motivo para arriesgarse por una característica que no necesita, para nada, dijo.
Contra: Nada obviamente negativo.
6. Deshabilitar el soporte de SSL 2.0
Herramientas/Opciones de Internet/solapa Avanzado/Usar SSL 2.0: sin marcar.
SSL2 ha sido declarado inseguro desde hace mucho y no es apropiado para usar según los reguladores de las instituciones financieras, señalo Forristal. Cualquier sitio web en el mundo que solo soporte SSL2 y nada mas nuevo (como SSL2 o TLS) es o bien algo que no es bueno o tan viejo que está lleno de vulnerabilidades, haciéndolo proclive a estar comprometido por un hacker y por lo tanto no es nada bueno.
Contra: Nada obviamente negativo.
7. Habilitar el soporte TLS
Herramientas/Opciones de Internet/solapa Avanzado/Usar TLS 1.0: marcado
TLS es una evolución de SSL, ofrece más mejoras de seguridad y extensiones que SSL3. Su uso está garantizado, y por lo tanto esta característica debe esta habilitada.
Contra: Nada obviamente negativo.
8. Deshabilitar la búsqueda desde la barra de direcciones URL
Herramientas/Opciones de Internet/solapa Avanzado/Buscar desde la barra de direcciones: No buscar desde la barra de direcciones
A Forristal personalmente no le gusta la idea de que cada error de copiar y pegar o de tipeo u otras cosas ingresadas en la barra de dirección URL sea enviado automáticamente hacia los motores de búsqueda como términos de búsqueda. Existe la posibilidad de que suceda una situación de divulgación de información. Por eso esta sugerencia.
Contra: Nada obviamente negativo.
9. Deshabilitar los agregados innecesarios
Herramientas/Opciones de Internet/solapa Programas/Administrar el botón de Agregados
Hay muchas herramientas de terceros que se añaden solas dentro de nuestro navegador. Cada una es técnicamente un camino para que potencialmente un atacante lo ataque, y por eso, deseará deshabilitar tantas como sea posible, dijo Forristal.
Contra: Desafortunadamente no siempre es obvio lo que hay que dejar y que debe ser deshabilitado, dijo Forristal.
Pero los usuarios deben examinar cuidadosamente la lista para ver si algo les salta a la vista como algo que no es mas necesario. Por ejemplo, preguntó, "¿Sigue usando Skype después de haberlo probado hace unos meses atrás? Luego uno puede deshabilitar con seguridad el agregado de Skype en el navegador.
10. Desinstalar viejas instalaciones de Java
(Vista) Menú Inicio/Panel de control/Programas y características.
Por alguna extraña razón, las nuevas versiones de Java a veces instalan completamente una nueva versión en lugar de actualizar las viejas existente. Esto puede ser problemático porque un atacante aun puede utilizar versiones viejas, y aquellas pueden albergar fallas de seguridad arregladas en la versiones más nuevas. De modo que Forristal sugiere verificar sus lista de aplicaciones instaladas, bajar hasta 'Java' y conservar la versión mas alta instalada eliminando las demás. "Cuando está allí, también es un buen momento de recorrer la lista y eliminar cualquier otra cosa que ya no use -- de nuevo, una menor superficie de ataque," dijo.
Contra: Nada obviamente negativo.
"La mayoría de las opciones señaladas, con la excepción de desinstalar versiones antiguas de Java, se pueden deshacer con seguridad simplemente cambiando un tilde o un botón de opción de configuración," dijo Forristal. "Así que está bien experimentar e intentar con estas configuraciones; si alguna le da problemas, sencillamente revierta el cambio y todo volverá a ser normal."
Traducción exclusiva de Segu-info: Raúl Batista
Autor: Bill Brenner
Fuente: NetworkWorld
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!