5 de junio de 2020
Porque empezamos a estar demasiado abiertos al mundo y en algunos casos, con dos proxies intermedios, la cadena de certificados digitales y la protección se complican mucho.
Así que el plan tiene varias fases:
- Recolectar información sobre qué hay expuesto al exterior.
- Poner al día el registro DNS externo y sincronizarlo con el interno.
- Actualizar los certificados digitales para descartar antiguos nombres y añadir los nuevos.
- Instalar una VPN y cerrar accesos exteriores a servicios de todo tipo que no son necesarios.
- Documentar y enseñar los requisitos de conexión y cómo se usa.
El punto 1 y el 2 están ya hechos. Prueba de ello es la tabla que muestro a continuación que sólo refleja una parte del problema:
En muchos de los casos aparece repetida la aplicación gestión comercial y es debido a que los diferentes muchachos que le han metido mano fueron pidiendo nombres alternativos para crear entornos de prueba. Entornos que en muy pocos casos pasaron a producción pero que ahí quedaron porque según sus palabras: podrían ser necesarios en cualquier momento. Los cojones necesarios. Pero vale.
Otra gran número de servicios están instalados en realidad en servidores internos para los que se aplica un servidor proxy y un sistema de protección básico, además de conexiones seguras con los certificados. Son aplicativos que en realidad apenas tienen uso fuera de la empresa por lo que he pensado que mejor dentro previa conexión a la red privada que fuera ampliando el perímetro de ataque.
Pues verás como cuando termine de quitarlos de en medio me viene alguno a decir que era imprescindible y que lo usaba todos los días. Ya.