10 consejos esenciales para proteger sus servidores FTP y SFTP

La mayoría de las empresas utilizan servidores FTP o SFTP para intercambiar archivos y otros documentos críticos con sus socios comerciales. Desafortunadamente, estos servidores se han convertido en uno de los objetivos principales para los hackers, poniendo a su FTP o SFTP frente al riesgo de sufrir una filtración de datos costosa. Bob Luebbe, Jefe de Arquitectura de Linoma Software, una división de Fortra, presentó un webinar, en el que participaron Steve Luebbe, Director de Ingeniería, y Dan Freeman, Consultor Senior de Soluciones, donde compartió las claves para garantizar la Seguridad y compatibilidad de su servidor FTP o SFTP.

Los tres principios de Seguridad Informática

Ya que estamos hablando de la Seguridad de los servidores, es necesario definir qué significa eso.

La Seguridad Informática se puede abordar en términos de CIA. No de esa CIA en la que está pensando. En este caso, el acrónimo CIA es sinónimo de Confidencialidad, Integridad y Disponibilidad (Availability). Mantener la confidencialidad significa que la información no debe divulgarse a personas, entidades o procesos no autorizados. La Integridad se refiere a asegurar que los datos permanezcan precisos y sin cambios; mientras que la Disponibilidad quiere decir que el sistema debe estar disponible sin interrupciones para las entidades autorizadas.

Principales estándares y normativas de cumplimiento

Cumplir con las regulacion de Seguridad establecidas por la industria, es una presión para empresas de todos los tamaños. Los desafíos de cumplimiento dependerán tanto de la industria como de la ubicación de su empresa. En Latinoamérica y España, algunas de las regulaciones más habituales son:

Estándar de Seguridad de Datos de la Industria de Tarjeta de Pago (PCI DSS): desarrollado para compañías encargadas de procesar información de tarjeta de débito o crédito, esta normativa tiene como objetivo proteger la privacidad de los datos de las cuentas de clientes. La última versión de PCI DSS tuvo un par de cambios importantes. Puede saber más sobre ellos y cómo afectan su negocio en este webinar sobre "lo nuevo en PCI DSS 3.2". El incumplimiento de las PCI DSS pueden generar multas e incluso anular su capacidad para realizar negocios. Las multas para bancos y las instituciones de tarjetas de crédito pueden alcanzar los USD 500,000. Aunque PCI DSS fue diseñado para compañías que procesan datos de titulares de tarjetas, sus requisitos de Seguridad son una gran referencia para cualquier organización que busque proteger sus información crítica. En el webinar, Bob y el equipo hacen referencia a cómo cada consejo de Seguridad se relaciona con PCI DSS.

Reglamento General de Protección de Datos (GDPR): Si su empresa se encuentra en la Unión Europa o procesa datos de residentes de la UE, desde el 25 de mayo de 2018, necesita cumplir con GDPR. Esta normativa fue diseñada para reemplazar la Directiva de Protección de Datos y consolidar las leyes de privacidad de datos dentro de Europa. Las multas por incumplimiento de GDPR pueden ser de hasta 20 millones de euros o el 4% de los ingresos declarados por la compañía en el último ejercicio.

Ley de Responsabilidad y Portabilidad de Seguro Médico (HIPAA): Requiere la protección de cualquier comunicación que contenga PHI (Información de salud protegida) que se transmita electrónicamente a través de redes abiertas, para que no sea interceptada por otra persona que no sea el destinatario.

Los mejores consejos para proteger servidores FTP y SFTP

Las malas prácticas en la implementación de FTP son habituales y exponen a muchas empresas al riesgo de sufrir una violación de datos o una costosa multa por incumplimiento. ¿Quiere garantizar que sus servidores son seguros y compatibles? Estos son 10 consejos que pueden ayudarlo:

#1. Deshabilitar el FTP estándar

Si el FTP estándar se está ejecutando en su servidor, debe desactivarlo lo antes posible. FTP tiene más de 30 años y no está diseñado para resistir las amenazas de Seguridad modernas a las que nos enfrentamos. FTP carece de privacidad e integridad y hace que sea bastante fácil para un hacker obtener acceso y capturar o modificar sus datos mientras están en tránsito. Le sugerimos que cambie a una alternativa más segura como FTPS, SFTP o ambas.

#2. Use una encriptación potente y funciones hash

La encriptación se utiliza en los protocolos SFTP y FTPS para proteger los datos en la transmisión. El encriptado es un algoritmo complejo que toma los datos originales y, junto con la clave, genera los datos ya encriptados para transmitir. Lo primero que debe hacer es deshabilitar cualquier sistema de encriptación antiguo y desactualizado como Blowfish y DES, y solo usar una encriptación más pótente como AES o TDES.

Los algoritmos Hash o MAC se utilizan para verificar la integridad de la transmisión. Una vez más, debe deshabilitar algoritmos hash / MAC más antiguos como MD5 o SHA-1 y seguir con algoritmos potentes de la familia SHA-2.

#3. Aloje sus servidores detrás de un Gateway

La DMZ es un segmento común de la red para que las organizaciones almacenen sus servidores FTP. El problema con la DMZ es que enfrenta el acceso público a internet, por lo que es el segmento más vulnerable para atacar. Si el servidor FTP está en la DMZ, los archivos de datos de los socios comerciales y las credenciales de los usuarios generalmente también se almacenarán allí, lo que representa un gran riesgo, incluso si los archivos están encriptados.

Otras organizaciones han decidido mover archivos y credenciales de usuario a la red privada, lo que es más seguro. Sin embargo, el problema con este método es que requiere que abra puertos a la red privada, creando una ruta para sufrir un ataque, además de le posibilidad de no alcanzar los requisitos de cumplimiento.

Un enfoque que aumenta su popularidad es el uso de una puerta de enlace DMZ o un proxy inverso mejorado. El Gateway es un software que usted instala en un servidor en la DMZ. Un canal de control especial se abre desde la red privada a la DMZ. Sus socios comerciales se conectan a Gateway y Gateway enviará la sesión por el canal de control al servidor FTP de la red privada. Los archivos y credenciales de usuario permanecen en la red privada, sin la necesidad de puertos de entrada.

#4. Implemente listas blancas y negras de IP

Una lista negra de IP le niega a un rango de direcciones IP acceder al sistema, ya sea temporal o permanentemente. Por ejemplo, es posible que desee bloquear el acceso de ciertos países. También puede hacer que el servidor FTP realice listas negras automáticas para ciertos tipos de ataques, como ataques DoS.

Otro método es incluir en la lista blanca solo las direcciones IP especificadas para acceder al sistema, como sus socios comerciales. La dificultad es que esto solo funciona bien si el socio comercial usa IPs fijas.

#5. Fortalezca su servidor FTPS

Si está utilizando un servidor FTPS, hay algunas medidas que debe tomar para protegerlo:

• No use FTPS explícito a menos que obligue la encriptación para la autenticación y los canales de datos

• No use ninguna versión de SSL o TLS 1.0

• Use algoritmos de intercambio de clave de la curva elíptica Diffie-Hellman

#6. Utilice una buena gestión de cuentas

Es arriesgado crear cuentas de usuario a nivel de sistema operativo para socios comerciales, ya que abre una vía para acceder a otros recursos en el servidor. Además, las credenciales del usuario deben mantenerse separadas de la aplicación FTP. No permita usuarios anónimos o cuentas compartidas. Establezca algunas reglas, como que los nombres de usuario de la cuenta deban tener al menos 7 caracteres de longitud o que las cuentas se deben desactivar automáticamente después de 6 errores de inicio de sesión o 90 días de inactividad.

#7. Utilice contraseñas fuertes

Las contraseñas deben tener al menos 7 caracteres de longitud, contener tanto caracteres numéricos, como alfanuméricos, e incluir al menos un carácter especial. Genere contraseñas de administración seguras que cambien cada 90 días. No permita que las últimas 4 contraseñas vuelvan a ser utilizadas y guarde las contraseñas de usuario utilizando fuertes algoritmos de encriptación hash como SHA-2.

#8. Asegure archivos y carpetas

Un socio comercial solo debe tener acceso a la carpeta que realmente necesita. Por ejemplo, solo porque un socio necesite permiso para descargar algo desde una carpeta, no significa que deba tener permiso total sobre esa carpeta. La necesidad de cargar archivos en una carpeta no requiere que tengan acceso de lectura a la carpeta. Encripte los archivos en reposo, especialmente si están almacenados en la DMZ, y conserve los archivos en el servidor FTP solo el tiempo que sea necesario.

#9. Bloquee la administración

La administración de su servidor debe estar estrictamente controlada. Restrinja las tareas de administración a un número limitado de usuarios y solicite que utilicen la autenticación de múltiples factores. En lugar de almacenar contraseñas en el servidor, guárdelas en un dominio AD o servidor LDAP. No use IDs de administrador común como "root" o "admin": eso es lo primero que intentará un hacker.

#10. Siga estas mejores prácticas

En el webinar, Bob y el equipo tienen una serie de recomendaciones que incluyen:

• Mantener el software del servidor FTPS o SFTP actualizado
• No utilizar la versión de software SFTP predeterminada que se muestra la primera vez que inicia sesión, ya que le dará a los hackers una pista sobre cómo explotar el servidor.
• Mantener las bases de datos back-end en un servidor diferente
• Requerir re-autenticación de sesiones inactivas 
• Implementar una buena gestión de claves

Asegure su intercambio de archivos con GoAnywhere MFT.

GoAnywhere Managed File Transfer puede responder a todos los requerimientos  de cumplimiento y Seguridad mencionados en el webinar. Además ofrece potentes flujos de trabajo automatizados para agilizar el movimiento de archivos dentro de su red y con sus socios comerciales.

GoAnywhere MFT puede ser instalado en la mayoría de los sistemas operativos, incluyendo Windows, Linux, and IBM i, y también puede implementarse en un entorno virtual. Es compatible con numerosos protocolos y estándares de encriptado, incluidos SFTP y FTPS, y garantiza la entrega con reintentos de conexión y reanudación automática de archivos.

Mantener sus transferencias de archivos en orden para cumplir con una auditoría es muy simple con GoAnywhere. Utilice Advanced Reporting Module para comprobar que su instalación  responda a los requerimientos de normativas como PCI DSS.