Manual Instalacion Hardening
Manual Instalacion Hardening
Manual Instalacion Hardening
IMPLEMENTACIÓN
Hardening en Servidor
de
ControlGAS® Repsol
(Instalación por USB)
Contenido
Introducción. ........................................................................................................................................... 3
Objetivo. .................................................................................................................................................. 4
Consideraciones generales. ................................................................................................................. 4
Requisitos. ................................................................................................................................................ 5
Respaldo del servidor............................................................................................................................. 6
1. Respaldo. ...................................................................................................................................... 6
A. Respaldo de base de datos. .............................................................................................. 6
B. Respaldo de archivos y configuraciones de ControlGAS®. ............................................. 6
C. Documentos de facturación de la estación. .................................................................. 6
Proceso de hardening en servidor. ...................................................................................................... 7
Arranque con imagen de USB. ......................................................................................................... 7
Configuración de estación. ................................................................................................................ 17
Funcionalidad de UDB_AdminDB. .................................................................................................. 18
La funcionalidad es la siguiente: .................................................................................................... 19
Ingresar el nombre de la instancia SQL Server. ........................................................................ 19
Autenticarse por medio del aplicativo. ..................................................................................... 19
Una vez autenticado se habilitan las opciones: ...................................................................... 20
a. Usuarios SQL ............................................................................................................................ 20
b. Crear Base de Datos ............................................................................................................. 20
c. Respaldo (BackUp): ............................................................................................................... 20
d. Restaurar ................................................................................................................................. 21
e. Eliminar: ................................................................................................................................... 21
Flujo de operación de UDB_AdminDB. .......................................................................................... 22
1. Crear la base de datos. .................................................................................................................... 22
2. Restaurar la base de datos. .............................................................................................................. 22
Resumen de regla de firewall implementadas. ............................................................................... 23
Configuración de reglas de firewall............................................................................................... 23
Autenticación del asistente. ........................................................................................................... 24
Configuración de IP Local de las reglas........................................................................................ 25
Configuración de IP de Adicionales, Terminales e Impresoras. ................................................. 26
2
Introducción.
Hardening es un proceso cuya finalidad es la reducción de posibles vulnerabilidades en los
sistemas que son previamente configurados por defecto. La cantidad de posibles
vulnerabilidades aumenta dependiendo sus prestaciones y la cantidad de entornos que se
ejecuten en estos sistemas. La implementación se requiere para reducir el nivel de riesgo para
los siguientes factores: software desactualizado, usuarios inactivos, inicios de sesión
innecesarios y la desactivación servicios que no se tengan dentro del inventario y que puedan
facilitar su administración y control por medio de un ataque.
Actualmente las organizaciones son objeto de innumerables intentos de vulneración abusiva
de sus sistemas, para extraer su información por parte de delincuencia informática, muchas
empresas hoy en día son víctimas de estos ataques dirigidos a su infraestructura, ya que para
algunos nunca fue una de sus prioridades capacitar el personal, tomar medidas de seguridad
para prevenir o minimizar los ataques.
El desarrollo de este proyecto está enfocado al aseguramiento de los sistemas operativos para
la plataforma Windows y servidores con ControlGAS®, es una necesidad latente preparar a
las estaciones ante cualquier amenaza que pueda afectar su operación, poniendo en
conocimiento las diferentes herramientas disponibles en pro de elevar su nivel de seguridad
en las plataformas y hacer una detección oportuna de las vulnerabilidades encontradas en
los sistemas de información.
Con el conocimiento de las herramientas utilizadas para hacer Hardening, se puede definir el
diseño de implementación para iniciar con la mitigación de las fallas de seguridad
encontradas dentro de la organización y de esta manera generar unas políticas que permitan
hacer el análisis, detección y tratamiento de vulnerabilidades de seguridad periódicamente
para prevenir ataques e intrusiones en los puntos más débiles de nuestra infraestructura.
4
Objetivo.
Proporcionar una guía, con los requisitos, pasos y procesos necesarios, para llevar a cabo la
actualización de los servidores, donde está instalado ControlGAS®, con las medidas de
seguridad necesarias para Hardening.
Consideraciones generales.
Para llevar a cabo un proceso de Hardening se deben tener en cuenta las siguientes
consideraciones las cuales son:
• Configuraciones seguras: Esta actividad es importante a la hora de implementar
Hardening en un sistema operativo, ya que la mayoría de intrusiones son habilitadas por
no realizar una adecuada gestión técnica o la no existencia de políticas de seguridad
en los sistemas operativos. Los permisos a usuarios y servicios mal configurados
fortalecen el acceso a información que pueda facilitar aún más la intrusión, por lo cual
una configuración de seguridad y un dispositivo perimetral puede evitar que el
atacante tome control total del sistema operativo manipulándolo de forma que se
pueda acceder a otros equipos en red.
• La asignación de contraseñas seguras: Se realizaron configuraciones enfocadas en la
seguridad de las cuentas de usuario ya que es donde se detectaron la mayor cantidad
de oportunidades de mejora, en esta configuración se realizó la configuración de la
política de contraseñas según las normativas de PCI-DSS e ISO 27000 donde se
establece la complejidad de las contraseñas, duración, longitud, tiempo de bloqueo e
intentos fallidos.
• Limitaciones del equipo: Los equipos están configurados desde el usuario Administrador
para restringir el acceso al gestor de base de datos solo al usuario Administrador por
medio del método autenticación de Windows.
• Limitaciones del equipo solicitadas por Repsol: El equipo fue configurado bajo las
especificaciones de Repsol por lo que contiene mas restricciones de acceso, en
especifico el usuario Operador no puede acceder a las siguientes funciones:
o Acceso a cuentas de usuario.
o Herramientas administrativas de Windows (Servicios, administrador de equipos,
administrador de dispositivos, etc.).
o Firewall de Windows Defender con seguridad avanzada.
o Ajuste de hora y fecha.
Antes de realizar el proceso de Hardening del servidor, se requiere contar con lo siguiente:
• Tener la autorización por parte del responsable de la estación.
• Considerar que se detendrá la operación de la estación por el tiempo en que se
restablezca el equipo Servidor y se termine de realizar la reinstalación de ControlGAS®.
5
Requisitos.
Se requiere tener los siguientes dispositivos:
• Un dispositivo de almacenamiento externo para guardar los respaldos de las bases de
datos y la documentación almacenada en el servidor con tamaño a consideración, se
sugiere que sea el mínimo requerido al tamaño de los archivos a respaldar.
• Memoria USB certificada (esta es proporcionada por ATIO® Group).
• Identificar previamente las versiones de ControlGAS® y los aplicativos de la estación,
para que durante la configuración sean instaladas esas mismas versiones.
• Es de vital importancia validar que el arreglo RAID del equipo este configurado y
operando de forma correcta, el parámetro a identificar mas importante es que sea un
arreglo RAID 1 (Protección de datos en tiempo real) ya que en caso de tener algún
percance con el montaje de la imagen se deberá aplicar el proceso de reverso el cual
consiste en montar el disco secundario e iniciar operación con ese disco.
• En caso de que el arreglo no esté configurado de forma correcta deberá comunicar
al responsable o a su jefe directo sobre la anomalía para toma de decisión de las
acciones a tomar en la instalación en proceso.
• Si el arreglo está ejecutándose de forma correcta y es un RAID 1, deberá validar e el
disco secundario opere de forma correcta iniciando el sistema desde ese disco y
posteriormente desconectar el puerto SATA del disco secundario del servidor de la
tarjeta madre para no afectar su funcionamiento con los cambios que se ejecutarán
más tarde.
6
1. Respaldo.
Se requiere almacenar los respaldos, en un disco duro externo o dispositivo de
almacenamiento externo que se tenga preparado para tal fin.
4. El menú de arranque de Clonezilla iniciará, a partir de este momento se utilizarán las flechas
de menú de navegación del teclado del servidor.
9. Montar directorio de imagen Clonezilla, seleccionar “local_dev Usar Dispositivo local (Ej.:
disco duro, dispositivo USB)”, para continuar presionar la tecla “Enter”.
10
11. Después de presionar la tecla “Enter”, se muestra una pantalla negra con varias
particiones, para continuar presionar simultáneamente las teclas “Ctrl” y “C” (Ctrl + C).
12. En la parte inferior izquierda se muestran unos logs, en donde se indica que se están
validando las particiones, esperar a que termine el proceso.
11
14. A continuación, se mostrará el mensaje que para buscar el directorio para el repositorio
de imágenes. Es importante seguir los siguientes pasos:
a. Asegurarse que el directorio seleccionado actual sea la raíz de la partición.
b. Presionar 2 veces la tecla “→ derecha” hasta que la opción “Done” se
seleccione en color rojo y enseguida presionar la tecla “Enter”.
12
16. Modo de ejecución, se debe seleccionar “Beginner Modo Principiante: Aceptar opciones
por defecto” y enseguida presionar la tecla “Enter”.
18. El modelo de servidor a instalar, estará implícito dentro de la imagen dentro del USB, por lo
que, en la pantalla de selección de imagen a restaurar, solo se mostrará una imagen a
elegir, que es la que corresponde al modelo de servidor en que se está trabajando, para
continuar presionar la tecla: “Enter”.
19. En la pantalla siguiente hay que seleccionar la partición en donde se montará la imagen,
se debe seleccionar la partición “sda 1000GB” y presionar la tecla “Enter”.
21. En la pantalla del Modo Restoredisk, seleccionar “-p poweroff Apagar”, después presione
“Enter”.
14
22. Se mostrará un mensaje en la parte inferior izquierda, indicando que para continuar se
debe presionar la tecla “Enter”.
23. Arranque del proceso, a partir de este momento se aplicará la imagen contenida en el
USB en el disco duro del servidor. El tiempo estimado de este proceso es de 10 minutos.
24. Al finalizar este paso aparecerán algunos logs en la parte inferior de la pantalla. Se indican
las particiones y emite el mensaje de que todos los datos en el disco duro serán sobre
escritos. Para confirmar presionar la tecla “Y” seguida de la tecla “Enter”.
15
25. Se ejecutará un proceso y en ese momento comenzará a copiarse la imagen al disco duro
local. Es necesario esperar a que el proceso termine, el tiempo estimado para finalizar es
de 15 minutos.
26. Una vez finalizado el proceso, se mostrará la pantalla Choose Mode, seleccionar la opción
“poweroff apagar”y enseguida presionar la tecla “Enter”.
16
28. El servidor quedará restablecido con las configuraciones de Hardening y con todas las
actualizaciones de Windows disponibles, hasta el mes de noviembre de 2019.
29. Para ingresar será necesario utilizar las contraseñas de Hardening para el usuario de
“operador”, la clave al ser segura se proporcionará por escrito a la estación de servicio.
17
Configuración de estación.
Para restablecer el servidor se requiere:
• Configurar el nombre del servidor en base a la nomenclatura establecida.
• Para Ingresar a SQL Server con las credenciales SQL de seguridad, se deberá usar el
aplicativo de UDB_Admin para asignación de seguridad a las BD que se respaldaron
sin las nuevas claves de Hardening.
• Es necesario validar que los usuarios de SQL estén configurados antes de ejecutar
cualquier acción sobre el gestor de base de datos, para esto intente iniciar sesión con
el usuario usrInstalador.
• En caso de no contar con los usuarios de base de datos configurados y no conocer la
contraseña de SA del equipo, debe iniciar sesión por medio de la autenticación de
Windows y asignar una nueva contraseña a el usuario de SA, posteriormente podrá
continuar normalmente con la aplicación UDB_AdminDB.
• A partir del ingreso al equipo en este momento las credenciales de SQL serán de
acuerdo al perfil de seguridad establecido:
Funcionalidad de UDB_AdminDB.
La herramienta UDB_AdminDB, sirve para implementar perfiles de usuario en SQL Server
que cumplan con los estándares de seguridad, la siguiente explicación no representa el
flujo necesario para la restauración de las bases de datos en el nuevo servidor, para esto
diríjase al apartado de “Flujo de operación UDB_AdminDB”.
La funcionalidad es la siguiente:
NOTA: En una Estación sin Hardening: Ingresar contraseña del usuario SA del SQL
sin tener activa la marca de PCI Ready.
20
b. Crear Base de Datos: Crea una Base de Datos y crear los usuarios correspondientes al
Hardening.
1. Especificar el nombre de la Base de Datos a crear, de forma automática obtiene las
carpetas de Data y Log File.
2. Dar clic al botón “Crear”.
d. Restaurar: Restaura una copia de seguridad de una Base de Datos y crea los usuarios
correspondientes al Hardening.
1. Seleccionar el archivo de copia de seguridad a restaurar.
2. Al seleccionar el archivo .bak, de forma automática se asigna el nombre de la base de datos
original, este campo es editable.
3. Para poder restaurar la Base de Datos, esta se debe alojar en una carpeta con permisos de
lectura y escritura (puede ocuparse la carpeta Herramientas).
4. Dar clic al botón “Restaurar”.
Ya que se ha obtenido la clave, es necesario dar clic sobre el botón “Examinar” para
seleccionar el archivo que se ha compartido:
Una vez seleccionado el archivo debe dar clic sobre el botón “Autenticar”, en caso de que
la clave no sea valida se mostrará el siguiente error:
25
Cuando la clave sea correcta se mostrará la interfaz principal para modificar las reglas de
firewall del equipo:
En este apartado se solicitará la IP Local del equipo la cual puede tomarse la configurada
actualmente seleccionando el check “Usar IP actual” o ingresarla manualmente, después
solamente debe dar clic en el botón “Modificar IP Local en todas las reglas”.
Se mostrará un mensaje de confirmación antes de aplicar la configuración:
Para todos los apartados es el mismo proceso de configuración solo debe ingresar las
direcciones IP que sean necesarias para cada uno en alguno de los siguientes formatos:
• 192.168.10.2
• 192.168.10.2-192.168.10.6
• 192.168.10.0/27
Una vez escrita la dirección, solo de clic en “Agregar dirección” y se mostrará un mensaje de
confirmación de la operación:
Estructura de red.
Para la normativa de controles Volumétricos se requiere que las redes se encuentren
segmentadas y bajo una estructura estándar para garantizar que solo los equipos
estrictamente necesarios accedan a la información contenida en el servidor principal de
ControlGas®.
A continuación, se muestra el mapa de alto nivel con la estructura que deberá contar la
estación de servicio:
Estructura Hardening:
Antivirus.
Una vez terminada la configuración de todas las aplicaciones y la transferencia de archivos
de backup del servidor anterior, debe notificar al área de Soporte Hardware para la
instalación del antivirus CheckPoint, es necesario aplicar un reinicio al equipo para concluir la
instalación del mismo, este reinicio será utilizado también para configuración de Contraseña
de BIOS.
30
Contraseña de BIOS.
Este paso se puede realizar en cualquier reinicio controlado, para iniciar este proceso durante
el arranque del equipo debe presionar la tecla F12 para ingresar a la pantalla de selección
de dispositivo de arranque, seleccione la opción “Enter Setup” y presione Enter:
Posteriormente de Enter sobre la opción “Set Administrator Password”, lo cual abrirá una nueva
interfaz para ingresar y confirmar la contraseña que se asignará al momento de ingresar a
configuración del BIOS:
32
En estos campos debe ingresar la contraseña genérica para configuración de BIOS, la cual se
compartirá de forma oficial por medios externos.
Para finalizar este proceso debe presionar la tecla F10 para “Guardar y salir” de la
administración de BIOS.
33
Encripción de discos.
Este procedimiento es necesario que se ejecute al finalizar toda la configuración de las
aplicaciones y servicios ya que al iniciar la encripción el rendimiento del equipo se ve
afectado por algunos minutos mientras se termina con la encripción.
Para iniciar con la encripción es necesario buscar en el equipo la característica “Administrar
BitLocker”:
Como primer paso del asistente es necesario obtener y enviar el documento donde se
muestra la clave de recuperación de los discos duros, este paso es muy importante se ejecute
de forma correcta:
Con el archivo generado puede dar clic en Siguiente, se mostrará la siguiente imagen, solo
de clic en Siguiente:
36
Se solicitará reiniciar el equipo para aplicar esta configuración, debe reiniciar el equipo una
vez se haya configurado de forma correcta las aplicaciones y servicios y/o se aproveche el
reinicio solicitado por el antivirus para su instalación:
Ya reiniciado el equipo puede dar clic sobre la pestaña de “Iconos ocultos” y seleccionar el
icono de BitLocker:
Con esto comprobará que se está ejecutando de forma correcta la encripción del disco duro,
deberá compartir esta evidencia junto con el documento de clave de recuperación al área
de Soporte Hardware para su almacenamiento en sitio seguro mediante correo electrónico.
2. Al ingresar se observará uno de los discos duros con “Alerta”, por lo que no está
efectuado la imagen del disco duro principal del sistema.
39
Histórico de cambios