Introduccion al Hardening de Sistemas

¿Qué es Hardening? Hardening (palabra en ingles que significa endurecimiento) en seguridad informática es el proceso de asegurar un sistema mediante la reducción de vulnerabilidades en el mismo, esto se logra eliminando software, servicios, usuarios, etc. Innecesarios en el sistema así como cerrando puertos que tampoco estén en uso además de muchas otros métodos y técnicas que veremos durante este pequeño manual introductorio al Hardening de sistemas. Conceptos básicos IDS: Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion Detection System) es un programa usado para detectar accesos desautorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan herramientas automáticas. HIDS: (Host-based intrusion detection system) Sistema de detección de intrusos en un Host. Busca detectar anomalías que indican un riesgo potencial, revisando las actividades en la máquina (host). Puede tomar medidas protectoras. NIDS: Sistema de detección de intrusos en una Red. Busca detectar anomalías que inicien un riesgo potencial, tales como ataques de denegación de servicio, scanner de puertos o intentos de entrar en un ordenador, analizando el tráfico en la red en tiempo real. Para ello, analiza todos los paquetes, buscando en ellos patrones sospechosos. Los NIDS no sólo vigilan el tráfico entrante, sino también el saliente o el tráfico local, ya que algunos ataques podrían ser iniciados desde el propio sistema protegido. A pesar de la vigilancia, su influencia en el tráfico es casi nula. Snort: Es un sniffer de paquetes y un detector de intrusos basado en red (se monitoriza todo un dominio de colisión). Es un software muy flexible que ofrece capacidades de almacenamiento de sus bitácoras tanto en archivos de texto como en bases de datos abiertas como lo es MySQL. Implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida. Así mismo existen herramientas de terceros para mostrar informes en tiempo real (ACID) o para convertirlo en un Sistema Detector y Preventor de Intrusos. Amenaza: Es un evento que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos. Análisis de riesgos: El activo más importante que se posee es la información y, por lo tanto, deben existir técnicas que la aseguren, más allá de la seguridad física que se establezca sobre los equipos en los cuales se almacena. Estas técnicas las brinda la seguridad lógica que consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los datos y sólo permiten acceder a ellos a las personas autorizadas para hacerlo. Vulnerabilidades: Una vulnerabilidad en seguridad informática hace referencia a una debilidad en un sistema permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad, control de acceso y consistencia del sistema o de sus datos y aplicaciones. Criptografía: La criptografía (del griego krypto, «oculto», y graphos, «escribir», literalmente «escritura oculta») es el arte o ciencia de cifrar y descifrar información utilizando técnicas que hagan posible el intercambio de mensajes de manera segura que sólo puedan ser leídos por las personas a quienes van dirigidos. Antivirus: Los antivirus son programas cuya función es detectar y eliminar Virus informáticos y otros programas maliciosos (a veces denominados malware). Básicamente, un antivirus compara el código de cada archivo con una base de datos de los códigos (también conocidos como firmas o vacunas) de los virus conocidos, por lo que es importante actualizarla periódicamente a fin de evitar que un virus nuevo no sea detectado. Firewall: Un cortafuegos (o firewall en inglés) es un elemento de hardware o software que se utiliza en una red de computadoras para controlar las comunicaciones, permitiéndolas o prohibiéndolas según las políticas de red que haya definido la organización responsable de la red. Su modo de funcionar es indicado por la recomendación RFC 2979, que define las características de comportamiento y requerimientos de interoperabilidad. VPN: La Red Privada Virtual (RPV), en inglés Virtual Private Network (VPN), es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada , como por ejemplo Internet. DMZ: En seguridad informática, una zona desmilitarizada (DMZ, demilitarized zone) o red perimetral es una red local que se ubica entre la red interna de una organización y una red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estén permitidas, mientras que las conexiones desde la DMZ sólo se permitan a la red externa — los equipos (hosts) en la DMZ no pueden conectar con la red interna. GPG: GPG o GNU Privacy Guard es una herramienta para cifrado y firmas digitales, que viene a ser un reemplazo del PGP (Pretty Good Privacy) pero con la principal diferencia que es software libre licenciado bajo la GPL. GPG utiliza el estándar del IETF denominado OpenPGP. HoneyPot: Se denomina Honeypot al software o conjunto de computadores cuya intención es atraer a crackers o spammers, simulando ser sistemas vulnerables o débiles a los ataques. Es una herramienta de seguridad informática utilizada para recoger información sobre los atacantes y sus técnicas. Los Honeypots pueden distraer a los atacantes de las máquinas más importantes del sistema, y advertir rápidamente al administrador del sistema de un ataque, además de permitir un examen en profundidad del atacante, durante y después del ataque al honeypot. HoneyNet: Los Honeynet son un tipo especial de Honeypots de alta interacción que actúan sobre una red entera, diseñada para ser atacada y recobrar así mucha más información sobre posibles atacantes. Se usan equipos reales con sistemas operativos reales y corriendo aplicaciones reales. Beneficios del Hardening de sistemas: Asegura que los recursos críticos tengan los “parches” actualizados y sean capaces de defenderse contra vulnerabilidades conocidas. Facilita el despliegue rápido de una configuración de referencia base segura y fácil de auditoría de un servidor frente a cambios inesperados. Mejora la seguridad de sus sistemas frente a amenazas internas y externas. Reduce los riesgos asociados con fraude y error humano. Proceso de Hardening Instalación Inicial del sistema: En el servidor 0 Km, realice la instalación del sistema operativo a utilizar, recuerde que desde el inicio deberá considerara el cambio de contraseñas y configuraciones de fabrica (Requerido por la norma), cualquier cambio debe documentarlo en una bitácora. Remover el software innecesario: Luego de terminar con la instalación del sistema operativo, el primer paso es remover cualquier software que se haya instalado en el sistema (como parte de un paquete predeterminado) y que no sea requerido para la función única del mismo. Ej. En un Servidor de archivos no va a requerir un servicio Web o un controlador de dominio un programas de oficina (Word, Excel, Acrobat Reader), como norma general si no lo requiere no debe existir. Remover o deshabilitar los usuarios innecesarios: Los sistemas operativos por lo general configuran usuarios de distintos tipos, si estos no son requeridos elimínelos, si no puede eliminarlos inactivos (ej. usuario “invitado”) y como adicional sería recomendable renombrar usuarios como el Administrador. Recuerde siempre cambiar las contraseñas establecidas en la configuración predeterminada Remover o deshabilitar los servicios innecesarios: De la misma forma, remueva todo servicio innecesario del sistema si este no es explícitamente requerido por la función del servidor. Si no es posible removerlos, deshabilítelos, pero recuerde que siempre permanece latente el riesgo de que sean activados por error o como parte de un ataque. Aplicar todos los parches innecesarios al sistema operativo: Realizados los pasos anteriores, es momento de aplicar todos los parches de seguridad y de sistema que ha publicado el fabricante. Adicionalmente en este momento es cuando se pueden aplicar los procesos de endurecimiento recomendados por los fabricantes del sistema, los mismos que contemplaran varias tareas adicionales a las ya mencionadas. Instalar aplicaciones requeridas: Una vez que el sistema base ya está instalado y endurecido, es el momento de instalar los aplicativos y funciones de terceros en el sistema. En este caso se deben considerar los pasos anteriores en como un subproceso de endurecimiento, removiendo todos las funcionalidades no requeridas por la aplicación, cambiando las configuraciones y contraseñas de fabrica y aplicando recomendaciones de endurecimiento del fabricante (Ej. Instalación de Oracle) Aplicar los parches a las aplicaciones: Realizados estos pasos se deberá aplicar todos los parches de seguridad y de aplicación recomendados por el fabricante. Ejecutar aplicación de detección de vulnerabilidades: Este punto es muy importante ya que aun que se haya realizado a conciencia todos los pasos anteriores, una buena herramienta de identificación de vulnerabilidades nos ayudara a identificar problemas aun ocultos, los cuales deberán ser corregidos de forma apropiada y en los casos en los que no exista solución, se deberá contemplar, la implementación de controles compensatorios. Este paso requerirá de documentación adicional y de la calendarización del proceso de descubrimiento de vulnerabilidades en forma trimestral. Certificar el sistema para PCI-DSS: En este punto, se deberán revisar las consideraciones referentes a los requerimientos de la norma, es apropiado que la organización establezca una lista de revisión que contemple cada uno de los requerimientos de la norma que afectan a los sistemas en producción. Ej. Contraseñas de no menos de 7 caracteres, funciones adicionales eliminadas, configuración correcta del sistema de bitácoras, monitorización de usuarios administradores, instalación de antivirus, etc. Entrada en producción: Por ultimo con el sistema endurecido y certificado para entrar en producción se deberá entrar en el proceso de paso a producción tomando en cuenta las consideraciones respectivas que son parte de cualquier implementación. GRACIAS