El servidor de puerta de enlace de Mirage se ejecuta en Linux. Este host se debe proteger de las vulnerabilidades habituales de los sistemas operativos.
Use filtros de spyware, sistemas de detección de intrusiones y otras medidas de seguridad dictadas por sus directivas empresariales.
Asegúrese de que todas las medidas de seguridad estén actualizadas, incluidos los parches de sistema operativo.
Durante la implementación de la plantilla OVA se ejecutan códigos de configuración de protección.
Tabla 1.
Configuración de protección del código MEG01
| Elemento de configuración |
Descripción |
| Código |
MEG01 |
| Nombre |
Mantiene correctamente instalados los parches del sistema de puerta de enlace de Mirage. |
| Descripción |
Mantener actualizados los parches de sistema operativo permite reducir las vulnerabilidades del sistema operativo. |
| Riesgo o control |
Si un atacante obtiene acceso al sistema y vuelve a asignar privilegios en el sistema de puerta de enlace de Mirage, el atacante puede obtener acceso a todos los CVD que se transferirán a través del servidor de puerta de enlace de Mirage. |
| Nivel recomendado |
Empresa |
| Condición o pasos |
Emplea un sistema para mantener el sistema de puerta de enlace de Mirage actualizado con parches, de acuerdo con las directrices estándar del sector o las directrices internas donde corresponda. |
Tabla 2.
Configuración de protección del código MEG02
| Elemento de configuración |
Descripción |
| Código |
MEG02 |
| Nombre |
Proporciona protección de sistema operativo en el host del servidor de puerta de enlace de Mirage. |
| Descripción |
Al proporcionar protección en el nivel del sistema operativo, se reducen las vulnerabilidades del sistema operativo. Esta protección incluye medidas antimalware y otras similares. |
| Riesgo o control |
Si un atacante obtiene acceso al sistema y vuelve a asignar privilegios en el sistema de puerta de enlace de Mirage, el atacante puede obtener acceso a todos los CVD que se transferirán a través del servidor de puerta de enlace de Mirage. |
| Nivel recomendado |
Empresa |
| Condición o pasos |
Proporciona protección de sistema operativo, como medidas antimalware, de acuerdo con las directrices estándar del sector o las directrices internas donde corresponda. |
Tabla 3.
Configuración de protección del código MEG03
| Elemento de configuración |
Descripción |
| Código |
MEG03 |
| Nombre |
Restringe el inicio de sesión de usuarios con privilegios. |
| Descripción |
Debe reducirse al mínimo el número de usuarios con privilegios que tienen permisos para iniciar sesión en el sistema de puerta de enlace de Mirage como administradores. |
| Riesgo o control |
Si un usuario con privilegios no autorizado obtiene acceso al sistema de puerta de enlace de Mirage, el sistema será vulnerable a cambios no autorizados. |
| Nivel recomendado |
Empresa |
| Condición o pasos |
Cree cuentas de inicio de sesión con privilegios específicos para individuales. Estas cuentas deben formar parte del grupo local de administradores. No debe haber un shell en la cuenta en el que esta no pueda iniciar sesión y proporcionar una contraseña no válida para la cuenta. |
Tabla 4.
Configuración de protección del código MEG04
| Elemento de configuración |
Descripción |
| Código |
MEG04 |
| Nombre |
Implementa una directiva de contraseña de administración. |
| Descripción |
Configura una directiva de contraseña para todos los sistemas de puerta de enlace de Mirage. La contraseña debe incluir los parámetros siguientes:
- Una longitud de contraseña mínima
- Requerir tipos de caracteres especiales
- Requerir un cambio periódico de la contraseña
|
| Riesgo o control |
Si un usuario con privilegios no autorizado obtiene acceso al sistema de puerta de enlace de Mirage, el sistema será vulnerable a cambios no autorizados. |
| Nivel recomendado |
Empresa |
| Condición o pasos |
Configure una directiva de contraseña en cada sistema de puerta de enlace de Mirage. |
Tabla 5.
Configuración de protección del código MEG05
| Elemento de configuración |
Descripción |
| Código |
MEG05 |
| Nombre |
Elimina los protocolos de red que no son necesarios. |
| Descripción |
La puerta de enlace de Mirage solo usa comunicaciones con el protocolo IPv4. Debe eliminar otros servicios, como el uso compartido de archivos e impresoras, NFS, SendMail, BIND o NIC, etc. |
| Riesgo o control |
Si un usuario con privilegios no autorizado obtiene acceso al sistema de puerta de enlace de Mirage, el sistema será más vulnerable a cambios no autorizados. |
| Nivel recomendado |
Empresa |
| Condición o pasos |
Ejecute yast en el sistema operativo SUSE de la puerta de enlace de Mirage. Deshabilite todos los protocolos de red en la configuración de usuarios y seguridad y en la configuración del cortafuegos. Conserve los tres puertos siguientes:
- Mirage Gateway- default tcp 8000
- Management- default tcp 8080
- SSH- default tcp 22
|
Tabla 6.
Configuración de protección del código MEG06
| Elemento de configuración |
Descripción |
| Código |
MEG06 |
| Nombre |
Deshabilita los servicios que no son necesarios. |
| Descripción |
La puerta de enlace de Mirage requiere un número mínimo de servicios para el sistema operativo. Al deshabilitar los servicios que no son necesarios se mejora la seguridad. De esta forma se evita que los servicios se inicien automáticamente en el momento del arranque. |
| Riesgo o control |
Si se ejecutan servicios que no son necesarios, el sistema de puerta de enlace de Mirage es más vulnerable a ataques de red. |
| Nivel recomendado |
Empresa |
| Condición o pasos |
Deshabilite los servicios que no sean necesarios. Ejecute yast en el sistema operativo SUSE de la puerta de enlace de Mirage. En el menú desplegable Servicios de red, deshabilite todos los servicios de red excepto los relacionados con SSHD e iSCSI. |
Tabla 7.
Configuración de protección del código MEG07
| Elemento de configuración |
Descripción |
| Código |
MEG07 |
| Nombre |
Usa un cortafuegos externo en la red perimetral (DMZ, Demilitarized Zone) que controlar. |
| Descripción |
Los servidores de puerta de enlace de Mirage se implementan normalmente en una red perimetral. Debe controlar qué puertos de red y protocolos se permiten para restringir la comunicación con la puerta de enlace de Mirage al mínimo requerido. La puerta de enlace de Mirage realiza automáticamente el reenvío de TCP a los servidores Mirage de un centro de datos y garantiza que todo el tráfico reenviado se dirija desde usuarios autenticados. |
| Riesgo o control |
Permitir el uso de puertos y protocolos que no sean necesarios puede aumentar la posibilidad de un ataque por parte de un usuario malintencionado, especialmente en el caso de protocolos y puertos para la comunicación de red con Internet. |
| Nivel recomendado |
Configure un cortafuegos a ambos lados del servidor de puerta de enlace de Mirage para restringir los protocolos y puertos de red al conjunto mínimo requerido entre los clientes Mirage y los servidores de puerta de enlace de Mirage. Debe implementar el servidor de puerta de enlace de Mirage en una red aislada para limitar el alcance de la transmisión de tramas. Esta configuración puede contribuir a evitar que un usuario malintencionado en la red interna supervise la comunicación entre los servidores de puerta de enlace de Mirage y las instancias de servidor Mirage. Se recomienda que use funciones de seguridad avanzadas en su switch de red para impedir la supervisión malintencionada de las comunicaciones de la puerta de enlace de Mirage con los servidores Miragey protegerse contra ataques de supervisión, como el envenenamiento de caché ARP. |
| Configuración de objetos o parámetros |
Para obtener más información sobre las reglas de cortafuegos requeridas para la implementación de una red perimetral o DMZ, consulte la Guía de instalación de VMware Mirage. |
Tabla 8.
Configuración de protección del código MEG08
| Elemento de configuración |
Descripción |
| Código |
MEG08 |
| Nombre |
No use los certificados de servidor autofirmados predeterminados en un servidor de puerta de enlace de Mirage. |
| Descripción |
Al instalar por primera vez el servidor de puerta de enlace de Mirage, el SSL no puede funcionar hasta que no se preparen certificados firmados. El servidor de puerta de enlace de Mirage y el servidor SSL requieren certificados de servidor SSL firmados por una entidad de certificación comercial (CA, Certificate Authority) o de la organización. |
| Riesgo o control |
El uso de certificados autofirmados hace que la conexión SSL sea más vulnerable a ataques de tipo "man-in-the-middle". Solicitar certificados a una entidad emisora de confianza reduce el potencial de estos ataques. |
| Nivel recomendado |
Empresa |
| Condición o pasos |
Para obtener más información sobre la configuración de los certificados SSL de la puerta de enlace de Mirage, consulte la Guía de instalación de VMware Mirage. |
| Prueba |
Use una herramienta de examen de las vulnerabilidades para conectarse a la puerta de enlace de Mirage. Compruebe que esté firmada por la entidad de certificación correspondiente. |
