Académique Documents
Professionnel Documents
Culture Documents
TRABAJO DE INVESTIGACION
1
Indice
Introduccion.................................................................................................................................. 3
Qu es el hardening? .................................................................................................................. 3
Hacindole la vida difcil al atacante ........................................................................................... 3
Consejos para reforzar el servidor Linux..................................................................................... 5
Cifrar la comunicacin de datos ................................................................................................ 5
Un servicio de red por sistema o VM Instancia......................................................................... 6
Mantenga ncleo de Linux y software del ordenador .............................................................. 6
Utilice las extensiones de seguridad de Linux ........................................................................... 6
SELinux .......................................................................................................................... 7
Cuentas de usuario y contraseas fuertes ................................................................................ 7
La restriccin de uso de contraseas anteriores........................................................... 8
Desactivar raz de sesin ........................................................................................................... 8
Seguridad servidor fsico ........................................................................................................... 8
Deshabilitar servicios no deseados ........................................................................................... 8
Eliminar X Ventanas .................................................................................................................. 9
Configurar iptables y TCP Wrappers ......................................................................................... 9
Desactivar IPv6 .......................................................................................................................... 9
Un Servicio Uso de autenticacin centralizada ......................................................................... 9
Kerberos .................................................................................................................................... 9
Registro y auditora ................................................................................................................. 10
Secure Servidor OpenSSH ....................................................................................................... 10
Instalar y utilizar Sistema de Deteccin de Intrusos ............................................................... 10
Proteccin de los archivos, directorios y correo electrnico .................................................. 10
Proteccin de los servidores de correo electrnico .................................................... 11
Comandos de configuracin para un equipo (router y switch) CISCO ..................................... 11
Definir longitud mnima de passwords y bloqueo por intentos fallidos (bloqueo de 180
segundos luego de 3 intentos fallidos en un lapso de 30 segundos) ...................................... 13
Hardening Windows ................................................................................................................... 13
Conclusin ................................................................................................................................... 20
Bibliografia .................................................................................................................................. 20
2
HARDENING
Introduccion
Hardening de Sistemas es una estrategia defensiva que protege contra los ataques
Removiendo servicios vulnerables e innecesarios, cerrando fallos de seguridad y
asegurando los controles de acceso. Este proceso incluye la evaluacin de arquitectura
de seguridad de una empresa y la auditora de la configuracin de sus sistemas con el
fin de desarrollar e implementar procedimientos de consolidacin para asegurar sus
recursos crticos.
Qu es el hardening?
Ese es el resumen de la razn de ser del Hardening de sistemas operativos, que se podra
decir es:
Un conjunto de actividades que son llevadas a cabo por el administrador de un sistema
operativo para reforzar al mximo posible la seguridad de su equipo.
Su propsito, entorpecer la labor del atacante y ganar tiempo para poder minimizar las
consecuencias de un inminente incidente de seguridad e incluso, en algunos casos,
evitar que ste se concrete en su totalidad
En otras palabras, un factor ms a considerar dentro del gran nmero de puntos a ser
tomados en cuenta para defender globalmente un sistema. Entre las actividades
propias de un proceso de hardening se pueden contar las siguientes:
3
la deshabilitacin de dispositivos pticos, usb o similares, para evitar cualquier
entrada de malware desde un medio de almacenamiento externo.
Instalacin segura del sistema operativo. Esto implica, entre otras cosas, el
considerar al menos dos particiones primarias (1 para el sistema operativo en s
y otra para carpetas y archivos de importancia), el uso de un sistema de archivos
que tenga prestaciones de seguridad, y el concepto de instalacin mnima, es
decir, evitando la instalacin de cualquier componente de sistema que no sea
necesario para el funcionamiento del sistema.
Activacin y/o configuracin adecuada de servicios de actualizaciones
automticas, para asegurar que el equipo tendr todos los parches de seguridad
que entrega el proveedor al da. En caso de que se encuentre dentro de una
corporacin, es adecuado instalar un servidor de actualizaciones, que deber
probar en un entorno de laboratorio el impacto de la instalacin de
actualizaciones antes de instalarlas en produccin.
Instalacin, configuracin y mantencin de programas de seguridad tales como
Antivirus, Antispyware, y un filtro Antispam segn las necesidades del sistema.
Configuracin de la poltica local del sistema, considerando varios puntos
relevantes: Poltica de contraseas robusta, con claves caducables,
almacenamiento histrico de contraseas (para no usar contraseas cclicas),
bloqueos de cuentas por intentos errneos y requisitos de complejidad de
contraseas. Renombramiento y posterior deshabilitacin de cuentas estndar
del sistema, como administrador e invitado. Asignacin correcta de derechos de
usuario, de tal manera de reducir las posibilidades de elevacin de privilegios, y
tratando siempre de limitar al mnimo los privilegios y/o derechos de los usuarios
activos.
Configuracin de opciones de seguridad generales, como aquellas relacionadas
con rutas de acceso compartido, apagado de sistema, inicio y cierre de sesin y
opciones de seguridad de red.
Restricciones de software, basado en lo posible en el uso de listas blancas de
software permitido ms que en listas negras del mismo.
Activacin de auditoras de sistema, claves para tener un registro de algunos
intentos de ataque caractersticos como la adivinacin de contraseas.
Configuracin de servicios de sistema. En este punto es necesario tratar siempre
de deshabilitar todos aquellos servicios que no vayan a prestar una funcionalidad
necesaria para el funcionamiento del sistema. Por ejemplo, si su equipo no posee
tarjetas de red inalmbrica, el servicio de redes inalmbricas debera estar
deshabilitado.
Configuracin de los protocolos de Red. En la medida de lo posible, es
recomendable usar sistemas de traduccin de direcciones (NAT) para direccionar
los equipos internos de una organizacin. Deshabilitar todos aquellos protocolos
de red innecesarios en el sistema y limitar el uso de los mismos al mnimo. TCP/IP
es un protocolo que no naci pensando en seguridad, por lo que limitar su uso
al estrictamente necesario es imperativo.
Configuracin adecuada de permisos de seguridad en archivos y carpetas del
sistema. En la medida de lo posible, denegar explcitamente cualquier permiso
de archivo a las cuentas de acceso annimos o que no tengan contrasea.
4
Un correcto set de permisos a nivel de carpetas y archivos es clave para evitar acceso
no deseado al contenido de los mismos.
Como se puede ver, el espectro de actividades que deben ser llevadas a cabo dentro de
este proceso es bien amplio y tiene actividades de todo tipo. Sin embargo, la consigna
para todas estas actividades es siempre la misma: Dejar el sistema operativo lo ms
restringido posible.
Todos los datos transmitidos a travs de una red est abierta a la vigilancia. Cifrar los
datos transmitidos siempre que sea posible con la contrasea o el uso de llaves /
certificados.
1. Usar scp, ssh , rsync, o SFTP para transferencia de archivos. Tambin puede
montar el sistema de archivos del servidor remoto o en su propio directorio
personal utilizando sshfs especiales y herramientas de fusibles.
2. GnuPG permite encriptar y firmar sus datos y la comunicacin, cuenta con un
sistema de gerencia clave verstil, as como mdulos de acceso para todo tipo de
directorios de clave pblica.
3. Fugu es una interfaz grfica para la aplicacin de transferencia de archivos de
comandos seguro (SFTP). SFTP es similar a FTP, pero a diferencia de FTP, toda la
5
sesin est cifrada, es decir, sin las contraseas se envan en texto claro, y es por lo
tanto mucho menos vulnerables a la interceptacin de terceros. Otra opcin
es FileZilla - un cliente multiplataforma que soporta FTP, FTP sobre SSL / TLS (FTPS),
y el Protocolo de transferencia de archivos SSH (SFTP).
4. OpenVPN es una VPN SSL rentable y ligera.
Linux viene con varios parches de seguridad que se pueden utilizar para protegerse
contra programas mal configurados o comprometidos. Si es posible utilizar SELinux y
otras de seguridad de Linux extensiones para hacer cumplir las limitaciones de las redes
y otros programas. Por ejemplo, SELinux provee una variedad de polticas de seguridad
para el kernel de Linux.
6
SELinux
Usar los comandos useradd / usermod para crear y mantener las cuentas de
usuario. Asegrate de que tienes una buena y fuerte poltica de contraseas. Por
ejemplo, una buena contrasea incluye al menos 8 caracteres de longitud y mezcla de
alfabetos, nmeros, caracteres especiales, alfabetos superiores e inferiores, etc. Lo ms
importante es elegir una contrasea que pueda recordar. Utilizar herramientas tales
como John the Ripper para averiguar las contraseas de los usuarios dbiles en su
servidor.
Contrasea Envejecimiento
El comando chage cambia el nmero de das entre cambios de contrasea y la fecha del
ltimo cambio de contrasea. Esta informacin es utilizada por el sistema para
determinar cundo un usuario debe cambiar su contrasea. El archivo de
/etc/login.defs define la configuracin especfica de sitio para la suite contrasea
incluyendo la configuracin de la contrasea envejecimiento. Para desactivar la
caducidad de contraseas, entre:
chage -M 99999 userName
Para obtener informacin sobre la caducidad de contrasea, escriba:
chage -l userName
Por ltimo, tambin se puede editar el archivo / etc / shadow en los siguientes campos:
Dnde,
7
2. Maximum_days : El nmero mximo de das que la contrasea es vlida (despus
de que el usuario se ve obligado a cambiar su / su contrasea).
3. Advertir : El nmero de das antes de expirar la contrasea es que el usuario es
avisado de que su / su contrasea debe cambiarse.
4. Expira : Das desde ene 1, 1970 cuando cuenta est deshabilitada es decir, una
Especificacin de fecha absoluta cuando ya no se puede utilizar el inicio de sesin.
Puede impedir que todos los usuarios de utilizar o reutilizar mismas viejas contraseas
en Linux. El parmetro del mdulo pam_unix r puede ser utilizado para configurar el
nmero de contraseas anteriores que no pueden ser reutilizados.
En Linux se puede utilizar el comando faillog a mostrar faillog registros o para establecer
el lmite de error de inicio de sesin. faillog da formato a los contenidos del registro de
fallos de / var / log / base de datos faillog / archivo de registro
Nunca iniciar la sesin como usuario root. Usted debe usar sudo para ejecutar
comandos de nivel raz como y cuando sea necesario. sudo hace en gran medida
aumenta la seguridad del sistema sin compartir la contrasea de root con otros usuarios
y administradores sudo ofrece sencilla auditora y seguimiento de cuenta tambin.
Debe proteger los servidores Linux con acceso a la consola fsica. Configurar el BIOS y
desactivar el arranque desde dispositivos externos tales como DVD / CD / USB
pen. Ajuste del BIOS y GRUB cargador de arranque, contrasea para proteger estos
valores. Todas las cajas de produccin deben estar encerrados en IDC (Internet Data
Center) y todas las personas tienen que pasar algn tipo de controles de seguridad antes
de acceder a su servidor.
8
Eliminar X Ventanas
Desactivar IPv6
Protocolo de Internet versin 6 (IPv6) ofrece una nueva capa de Internet del
conjunto de protocolos TCP / IP que reemplaza Protocolo de Internet versin 4
(IPv4) y ofrece muchos beneficios. Actualmente no hay buenas herramientas por las
cuales son capaces de comprobar un sistema a travs de la red para los problemas
de seguridad de IPv6. La mayora de las distribuciones de Linux que permite
comenzaron protocolo IPv6 de forma predeterminada
Kerberos
Para cifrar y descifrar archivos con una contrasea, utilice comando gpg .
Linux o UNIX contrasea protegen archivos con openssl y otras herramientas.
Ver cmo encriptar directorios con ecryptfs.
TrueCrypt es software libre de cifrado de disco de cdigo abierto para Windows 7 /
Vista / XP, Mac OS X y Linux.
Como: Disco y el cifrado de particiones en Linux para dispositivos mviles .
Cmo configurar encriptada swap en Linux.
10
Proteccin de los servidores de correo electrnico
Puede utilizar los certificados SSL y claves GPG para asegurar la comunicacin por correo
electrnico en ambos equipos cliente y servidor:
Protocolo CDP
Configuracin remota
Service finger
Servicio web
Protocolo SNMP
Protocolo BOOTP
Servicios TCP
Servicios UDP
Router(config-if)#no ip proxy-arp
Router(config-if)#no ip directed-broadcast
Router(config-if)#no ip mask-reply
11
Forwarding de log a servidor de syslog de Seguridad Informtica
Router(config)#logging on
Router(config)#logging trap debug
Router(config)#logging [direccin ip servidor syslog]
Router(config)#hostname [nombre]
Router(config)#ip domain-name [nombre]
Router(config)#crypto key generate rsa
Router(config)#ip ssh timeout 60
Router(config)#line vty 0 4
Router(config-line)#transport input ssh
12
Configurar banners de seguridad
Router(config)#banner #
Router(config)#banner login #
Hardening Windows
Windows ha sido por aos catalogado como un sistema operativo inseguro, y si bien es
cierto no ha sido lo suficientemente eficiente al momento de encarar este aspecto
esencial de toda plataforma de cmputo, lo cierto tambin es que finalmente Microsoft
ha encauzado su estrategia vertiendo importantes mejoras en su nueva lnea de
sistemas operativos Windows XP / Windows 2003 Server, sobre todo con la distribucin
de SP 2 y SP 1 respectivamente.
Razn por la cual Microsoft no las muestra como opciones de configuracin para el
usuario, y simplemente estn ah, algunos casos configurados por defecto y en otros
simpledmente inhabilitados (vulnerables).
13
Entre las actividades propias de un proceso de hardening se pueden contar las
siguientes:
1. Informarse sobre su Sistemas
Inicio -> Programas -> Accesorios -> Herramientas del Sistemas -> Informacin del
Systemas
Informacin de red
Inicio -> Programas -> Accesorios -> Smbolo del Sistema -> digitamos ipconfig /all
14
2. Usuarios
My PC -> Click derecho -> Administrar -> Usuarios y Grupos Locales -> Usuarios ->
Click derecho sobre el usuario a eliminar -> Eliminar.
My PC -> Click derecho -> Administrar -> Usuarios y Grupos Locales -> Usuarios ->
Click derecho sobre el usuario a eliminar -> Propiedades -> Activar la casilla Cuenta
Deshabilitada.
15
Polticas de Usuario
Inicio -> Panel de Control -> Herramientas del Administrativas -> Directivas de
Seguridad Local -> Directivas de cuenta -> Directivas de Contrasea.
En este punto se deben revisar lo que dicen las mejores prcticas de seguridad y
configurarlas.
16
3. Configuracin de acceso remoto.
En caso de ser necesario habilitar este servicio se puede especificar los usuarios que
remotamente pueden ingresar al equipo en Seleccionar usuarios remotos
4. Directivas de Grupo
Inicio -> Ejecutar -> Gpedit.msc -> Configuracin de Usuario -> Plantillas
Administrativas -> Panel de Control -> Pantalla
Esta configuracin ser aplicada para todos los usuarios y ellos no podrn cambiarla.
17
Para esto primero se debe habilitar el Proteger el protector de pantalla mediantes
contrasea, luego definir el protector de pantalla a ejecutar en Nombre de archivo
ejecutable del protector de pantalla y finalmente el tiempo en que se activara
Tiempo de espera del protector de pantalla
Esta configuracin ser aplicada para todos los usuarios y ellos no podrn cambiarla.
5. Activar Firewall
18
6. Actualizaciones Automticas
Inicio -> Panel de Control -> Herramientas del Administrativas -> Servicios
19
El espectro de actividades que deben ser llevadas a cabo dentro de este proceso es
bien amplio y tiene actividades de todo tipo. Sin embargo, el objetivo para todas
estas actividades es siempre la misma: Dejar el sistema operativo lo ms restringido
posible.
Conclusin
El Hardening es una ayuda indispensable para ahorrarse bastantes inconvenientes
a las administradores del sistema.
Bibliografia
https://www.cyberciti.biz/tips/linux-security.html
https://es.slideshare.net/NeobitsOrg/wordpress-hardening-campus-party-mexico-
4?qid=aa0d6c94-cfae-42f2-8cd9-a6312e451822&v=&b=&from_search=4
http://blog.smartekh.com/que-es-hardening
https://www.solvetic.com/tutoriales/article/1875-hardening-seguridad-de-servidores-
y-sistemas-operativos/
https://ilianaburguan.wordpress.com/2010/01/08/hardening-de-windows/
20