“Hardening” o fortificacion de sistemas (I)

El proceso de fortificación de un determinado sistema (cliente y/o servidor) lo podríamos dividir en dos grupos: por un lado un grupo de recomendaciones y por otro 3 políticas “de oro” indispensables para lograr alcanzar el objetivo de fortificar lo más que se pueda un sistema.

Por el lado de las recomendaciones  tenemos las básicas las cuales  el Administrador del Sistema o el encargado de la seguridad debería aplicar por defecto, acciones, para nada complejas, que ayudaran a mantener el sistema con un nivel de seguridad muy alto; y por el otro lado están las recomendaciones especificas (mas enfocadas a servidores y a equipos importantes) que deberían aplicarse según sea el caso.

1- Recomendaciones básicas: Para cliente y/o servidor existen un conjunto de reglas generales básicas para asegurar el sistema. Entre ellas se encuentran:

  • Utilización de NTFS para discos.
  • Utilización de un proceso de aplicación de actualizaciones de seguridad.
  • Uso de Directivas para fortificar los servidores.
  • Eliminación de Servicios no utilizados.
  • Directivas de contraseña seguras.
  • Deshabilitado de Autenticación Lan    Manager y NTLMv1.
  • Restricción física al servidor y a la red.
  • Cambio de nombre de cuentas estándar invitado y administrador.
  • Restricción de acceso a cuentas de servicio.
  • Nunca iniciar servicio con una cuenta del dominio.

2- Recomendaciones específicas: Ademas de las recomendaciones básicas que deben configurarse por defecto en los servidores, por las características de los servicios que ofrecen, tendrán recomendaciones específicas como la configuración de determinados parámetros en determinados servicios que deberán ser aplicadas como ultimo paso en el proceso de la fortificación.

Además de las recomendaciones tenemos las 3 ploiticas ” de oro” que se deben recordar.

1- Defensa en Profundidad:

Este principio se basa en la suposición de que cualquier medida anterior ha podido fallar y debemos proteger el sistema desde el punto actual. Es decir, un firewall protege el acceso al segmento de la red y comprueba el usuario que accede a los datos de un servidor de ficheros, pero en el servidor de ficheros debemos volver a comprobar que el usuario tiene privilegios suficientes para poder acceder a ellos.
Suponemos que el Firewall puede haber fallado y un atacante ha encontrado la forma de saltarse la protección. La política de defensa en profundidad implica la aplicación de todas las medidas de seguridad que se puedan aplicar sin deteriorar el rendimiento del sistema, pues hay que tener en cuenta que la disponibilidad es una de las características de un sistema seguro y toda medida de seguridad lleva un coste en tiempo que hay que evaluar.

2- Mínimo Privilegio Posible:

Esta regla se basa en ejecutar cada uno de los procesos de un sistema con sólo los privilegios necesarios para que si esa parte queda comprometida el atacante obtenga los mínimos permisos posibles. Por ejemplo, si la página Web del sitio público accede al motor de bases de datos con más privilegios de los necesarios un atacante podría, si encuentra un fallo en la aplicación Web, acceder a información sensible e incluso modificar datos en tablas críticas de otras bases de datos.

3- Mínimo punto de exposición:

Los servidores deben ejecutar sólo los procesos que son necesarios para el cumplimiento de sus roles. Si un servidor no tiene ninguna impresora configurada, el servicio de spooler de impresión debe ser deshabilitado. Esto permite que un servidor tan sólo pueda ser atacado por fallos que de verdad le ataquen y no que quede comprometido por un software que no es necesario para su funcionamiento.

comentarios
  1. […] MAS SOBRE ESTE ARTICULO (en construcción) […]

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s