Nori zuzenduta dago?
Era guztietako erakundeei, publikoa edo pribatua, handia edo txikia izan, eta, batez ere, ETE eta mikroETEei, konexioen babesa ezinbestekoa baita erakundean gutxieneko zibersegurtasun maila lortzeko.
Zer da?
Konexioak beharrezkoak dira erakunde baten informazio-sistemetara sartzeko, horregatik da hain garrantzitsua haiek babestea. Ohikoena da erabiltzaileek bidezko konexioak egitea sistema horiekin, baina gonbidatu gaiztoentzako sarbide bat ere izan daiteke.
Hainbat konexio mota bereiz daitezke:
Konexio fisikoak
Konexio fisikoak dira eraikineko zenbait gelatan kokatuta dauden “sarearen aho” guztiak, ordenagailu bat erakundearen sarera konektatu ahal izateko, dagokion kablearen bitartez. Pentsa liteke horrek ez duela arrisku adierazgarririk ekarriko, erakundearen eraikinean dagoen pertsona oro erakundearen parte dela pentsa dezakegulako, baina horrek ez du zertan horrela izan.
Negozio ugari daude publikoari irekita (dendak, jendearentzako arreta-bulegoak, aisialdirako lokalak, ostalaritza, etab.), eta edozein ezezagunek izan dezake sarbidea “sarearen ahoak” dauden geletara. Negozio horietako askotan (kafetegiak, itxaron-gelak, etab.), ez litzateke arraroa suertatuko pertsona bat ordenagailu erabilgarri bat ireki eta sareko kable batekin konexio fisiko horietara konektatzen ikustea. Konexio horiek behar bezala babestuta ez badaude, sarbide erraz eta zuzena izan dezakete gure erakundera.
Baina ez da soilik publiko orokorrarentzat zabalik dauden toki fisiko irekietan pentsatu behar. Edozein bisita-gelak izan ohi ditu horrelako bitartekoak, eta bisitari batek asmo txarrik ez duela pentsatu ohi dugun arren, gehiegizko konfiantza hori da hain zuzen ere, asmo txarrak dituen bisitari batek (edo aurretik dagokion software gaiztoarekin kutsatu dena) gure erakundearen sarera sartu eta ekintza desegoki bat egiteko baliatu dezakeena.
WIFI Konexioak
Kablerik gabeko konexioek izan duten zabalpenarekin, gero eta handiagoa da konexio horiek guztiak modu egokian babesteko beharra. Egun, ez da beharrezkoa, aurreko kasuan bezala, gure erakundearen toki fisikoren batean “sarearen ahoak” eskuragarri izatea, erakundeko edozein tokitatik sarera zuzenean sartzeko aukera baitago, eta baita inguruko tokietatik ere, wifi sareek ez baitituzte hormak, sabaiak eta zoruak bereizten. Beraz, WIFI sareen babes egoki bat oinarrizkoa izango da desio ez ditugun bisitariek gure erakundearen sarera sarbidea izan dezaten nahi ez badugu.
Internet bidezko konexioak
Kasik erakunde guztiek eskaintzen dituzte Internet bidezko zerbitzuak, izan web-orriekin edo posta elektronikoz. Pandemiarekin, VPN konexioak ere zabaldu dira, langileek intranetetarako sarbidea izan dezaten urrunetik eta modu seguruan. Ez da ahaztu behar, zerbitzu horietara guztietara Interneten bidez egindako konexioen bitartez iristen dela, eta, hortaz, zabalik daudela zerbitzu horietara legez kontra sartzen saiatzen den pertsona ororentzat, munduan zeharreko edozein tokitatik (eta edozein asmorekin).
Gomendioak
Aurreko guztia dela eta, beharrezkoa da konexioak behar bezala babestuta izatea. Konexio motaren arabera, hartu beharreko segurtasun-neurriak ezberdinak izango dira, baina beti ziurtatu beharko dugu gure erakundera sartzeko bideak aski kontrolatuta daudela.
Konexio fisikoak
Publikoa sar daitekeen toki fisikoetan ez litzateke konexiorik egon beharko. Hala ere, eraikinen eraikuntza den bezalakoa da, eta, “sarearen aho” horiek hor badaude, ezin ditugu desagerrarazi. Konexio horien guztien funtzioa da, ordea, kablearen beste aldean, denak RITI edo komunikazioen armairu batean elkartzea. Hor ziurtatu beharko dugu “sarearen aho” horiek ez daudela ezerekin konektatuta, eta, horrela, gure sarea desio ez ditugun bisitari posibleengandik babestu.
Alabaina, agian beharko dugu “sarearen aho” batzuk sarera konektatuta egotea. Kasu horietan, sarean NAC (Network Access Control) teknologiak erabiltzea beharrezkoa izango da, horien bitartez bermatu ahal izango baitugu gure sarera baimendutako pertsonak eta/edo ekipoak bakarrik sartzen direla.
WIFI Konexioak
NAC teknologiak WIFI konexioetarako ere erabiltzen dira, eta gure sarera baimendutako pertsonak eta/edo ekipoak bakarrik sartzen direla bermatzeko dagoen segurtasun-teknologiarik eraginkorrenetako bat da. Hala ere, WIFI konexioak seguruagoak izan daitezen, badaude aplika ditzakegun zenbait segurtasun-aholku.
- Erabili WIFI (SSIDak) sare ezberdinak erabilera ezberdinetarako. Ez da gauza bera gonbidatuentzako sare bat edo erakundearen baliabide guztietara sarbidea duen bat.
- Erabili zifratua WIFI horretara sarbiderik ez duen norbait airetik doan trafikora sartzen ez dela bermatzeko. Komeni da, gutxienez, WPA2 zifratua erabiltzea eta, ahal dela, WPA3.
- Sarearen azpiegiturari dagozkion gotortze-politikak aplikatu: lehenetsitako pasahitzak aldatu, erabiltzen ez dituzun zerbitzuak ezgaitu, firmwarea eguneratu...
- Ahal baduzu, mugatu antenen emisio-potentzia, erradiazioa ahalik eta txikiena izan dadin zure eremu fisikotik kanpo.
- NAC teknologiarik ez baduzu, konfiguratu, ahal bada, MACen iragazpena, ezagutzen duzun helbidea duten MAC ekipoek soilik izan dezaten sarerako sarbidea.
- Segurtasunari dagokionez oso eraginkorra ez den arren, wifi sareen SSIDa ezkutatu daiteke; horren helburua da hor daudela ezkutatzea.
Internet bidezko konexioak
Internet bidezko konexioen babesa estu lotuta dago babestu beharreko zerbitzu motarekin, izan ere, zerbitzu mota bakoitza babesten duten teknologiak eta aldi berean bere funtzionamenduan laguntzen dutenak espezifikoak dira kasu bakoitzerako. Hala ere, eman daitezkeen oinarrizko gomendio batzuk badaude, hala nola:
- Erabili Internetetik desio ez diren konexio guztiak iragazten dituen suebaki bat, erakundeak publikatuta dituen zerbitzuetarako sarbidea soilik ahalbidetuz.
- Babestu zure web-, intranet- eta estranet-zerbitzariak WAF (Web Application Firewall) teknologiekin, erakundeak ezarritakoaren arabera bakarrik nabigatzea ahalbidetzeko.
- Babestu zure posta elektronikoa spamen eta birusen aurkako teknologiekin, erakundeak jasoko dituen posta gaiztoak edo desio ez dituenak ahalik eta gehien mugatzeko.
- Erakundera sartzeko urruneko konexioak babestu VPN (Virtual Private Network) teknologiekin, urruneko sarbide horiek babestuta egon daitezen eta modu seguruan egin daitezen.
- Internet bidezko sarbidea duten ekipo guztiei gotortze-politikak aplikatu: lehenetsitako pasahitzak aldatu, erabiltzen ez dituzun zerbitzuak ezgaitu, firewarea eguneratu...
- Internet bidezko sarbidea duten ekipo guztiei dagozkien eguneraketak aplikatu: beharrezko segurtasun adabakiak aplikatu, softwareak fabrikatzaileak jarritako bertsioetan mantendu, etab.
Eta konexioak babesteko eman dezakegun azken gomendioa erraza da: erabili sen ona, eta babestu pentsatuz, lehenago edo beranduago, zibereraso saiakera bat jasango duzula, eta saiakera horren arrakasta edo porrota hartu dituzun segurtasun-neurrien araberakoa izango dela.
Erreferentziak
https://www.incibe.es/protege-tu-empresa/que-te-interesa/proteccion-puesto-trabajo
https://www.incibe.es/protege-tu-empresa/que-te-interesa/protege-tu-web
https://www.ccn-cert.cni.es/informes/abstracts/4880-medidas-de-seguridad-para-acceso-remoto/file.htm
Iturria: Incibe
