Seguridad en

sistemas
computacionales
ASY6131
Hardening
 Hardening

La mayoría de los ordenadores ofrecen funciones de seguridad para

limitar el acceso externo al sistema.

Softwares, como los programas antivirus o bloqueadores de spyware,

evitan que el software malicioso se ejecute en nuestro ordenador.

Sin embargo, incluso con estas medidas de seguridad, nuestros

sistemas informáticos a menudo son vulnerables a las amenazas
externas.

El hardening, también denominado fortalecimiento del sistema

informático, ayuda a minimizar estas vulnerabilidades de seguridad.

3
 Hardening

Es el proceso a través del cual se mejora la seguridad de un sistema a

ejecutando las labores de mitigación de vulnerabilidades.

Además en este proceso se incorporan todas las configuraciones

recomendadas por los fabricantes y las entidades de seguridad.

Es el proceso de reducción de vulnerabilidades en el sistema. esto se

consigue, estableciendo unas medidas de seguridad con el objetivo de
estar preparados ante un ataque informático.
Está basado en la idea de
que los sistemas que
cumplen con una única
función: Ser más seguros

4
 Hardening

El proceso de hardening mínimo para cumplir los requerimientos del

negocio de cada sistema operativo se denomina baseline.

Actividades típicas de un proceso de hardening:

• Deshabilitar protocolos no utilizados

• Grabar los registros de log en un servidor independiente
• Cambiar parámetros por defecto
• Eliminar usuarios no utilizados
• Utilizar comunicaciones cifradas
• Eliminar los directorios y archivos temporales
• Cerrar puertos no utilizados

5
 Hardening
Principios de seguridad en hardening de servidores
Mínimo privilegio: para mayor seguridad es altamente recomendable
que los usuarios trabajen en los servidores con el usuario de mas bajo
privilegio, al igual que las aplicaciones que se ejecutan en el servidor, en
ningún caso con las cuentas de root o Administrador.
Mínimo punto de exposición: el acceso a los servidores solo debe ser
posible desde aquellos puntos o redes que requiere para su función, esto
reduce considerablemente la posibilidad de que una vulnerabilidad no
parchada, pueda ser explotada.

6
Mejores Prácticas de
Hardening
 Mejores Prácticas de
Hardening
El tipo de endurecimiento que realices depende de los riesgos en tu
tecnología existente, los recursos que tienes disponibles y la prioridad
para hacer arreglos.

1) Auditar los sistemas existentes

Es importante realizar una auditoría integral de nuestra tecnología existente.

El objetivo de esta práctica es encontrar fallas en el sistema para priorizar los

arreglos, por eso hay que realizar un escaneo de vulnerabilidades.

2) Estrategia para fortalecer los sistemas

No es necesario que fortalezcas todos tus sistemas a la vez.

Crea una estrategia y un plan basado en los riesgos identificados en la auditoría,

y usa un enfoque por fases para remediar las fallas más grandes.

8
 Mejores Prácticas de
Hardening
3) Parchar las vulnerabilidades de inmediato
Asegúrate de contar con un sistema automatizado y completo de
identificación y parcheo de vulnerabilidades.
4) Fortalecimiento de la red
El firewall está configurado correctamente y que todas las reglas sean
auditadas regularmente.
Comprueba que los puntos
de acceso y usuarios
remotos sean seguros.

Bloquea cualquier puerto de

red abierta no utilizado o
innecesario.

9
 Mejores Prácticas de
Hardening
5) Refuerzo del servidor

Coloca todos los servidores en un centro de datos seguro. Es

recomendable que se endurezcan los servidores antes de conectarlos a
internet o redes externas.

Evita instalar software innecesario en un servidor.

Asegúrate de que los recursos

compartidos administrativos y de
superadmin estén configurados
correctamente, y que los derechos y
el acceso estén limitados de acuerdo
con el principio de privilegio mínimo.

10
 Mejores Prácticas de
Hardening
6) Endurecimiento de la aplicación

Eliminar cualquier componente o función que no es necesaria.

Restringir el acceso a las aplicaciones en función de los roles y el

contexto del usuario (como con el control de la aplicación).

Eliminar todos los archivos de muestra y contraseñas predeterminadas.

Las contraseñas de las aplicaciones deben administrarse a través de

una solución de administración de contraseñas, que aplique las mejores
prácticas de contraseña (rotación de contraseña, longitud, etc.).

11
 Mejores Prácticas de
Hardening
7) Fortalecimiento de la base de datos

Crear restricciones de administrador sobre lo que los usuarios pueden

hacer en una base de datos.

Cifrar la información de la base de datos.

Auditar las cuentas existentes

Eliminar cuentas no utilizadas.

12
 Mejores Prácticas de
Hardening
8) Fortalecimiento del sistema operativo

Realizar las actualizaciones del sistema operativo y parches

automáticamente.

Eliminar controladores innecesarios, compartir archivos, bibliotecas,

software, servicios y funcionalidad.

Cifrar el almacenamiento local.

Ajustar el registro y otros permisos del sistema.

Registrar todas las actividades, errores y advertencias.

13
 Mejores Prácticas de
Hardening
9) Limpieza de programas

Eliminar los programas innecesarios.

Cada programa es otro punto de entrada potencial para un hacker.

Limpiarlos ayuda a limitar el número de formas de entrada. Si el

programa no es algo que la compañía ha examinado y "bloqueado", no
debería permitirse.

Los atacantes buscan puertas traseras y agujeros de seguridad cuando

intentan comprometer las redes.

Minimizar sus posibilidades de pasar.

Fuente: https://www.ibiscomputer.com/blog/122-hardening-informatico-que-es
14
Herramientas de
Hardening
 Herramientas de
Hardening
Herramientas de Hardening:

Para el caso de Microsoft, la mas utilizada es MBSA (Microsoft Baseline

Security Analyzer), que permite identificar las actualizaciones de
seguridad faltantes en el Sistema Operativo y los problemas de
configuración.

La versión actual 2.3 soporta:

Windows 7, Windows 8, Windows 8.1, Windows Server 2003, Windows

Server 2008, Windows Server 2008 R2, Windows Server 2012,
Windows Server 2012 R2, Windows Vista.

https://www.filehorse.com/es/descargar-mbsa-64/

16
 Herramientas de
Hardening
Ejemplo de reporte de MBSA

17
 Herramientas de
Hardening
Herramientas de Hardening:

Para el caso de Linux, la herramienta mas utilizada es Bastille:

• http://bastille-linux.sourceforge.net/

Permite mejorar y medir el nivel de seguridad del S. O. en forma

granular en cada uno de los ítems cubiertos por la solución.

Los sistemas operativos soportados son:

Red Hat (Fedora Core, Enterprise,

y Numbered/Classic), SUSE,
Debian, Gentoo, y Mandrake,
además de HP-UX y MAC OSX.

18
 Herramientas de
Hardening
Operación de Bastille:

Una vez instalada la herramienta, realiza la función de hardening en

base a un cuestionario donde el administrador decide cada una de las
configuraciones mas importantes del sistema operativo.

Al finalizar la herramienta entrega un reporte con el detalle de la

configuración y el puntaje obtenido con el proceso en puntuación de 1 a
10, donde 10 es el nivel mas alto.

19
 Herramientas de
Hardening
Ejemplo de uso de Bastille:

20
 Herramientas de
Hardening
Cifrado de discos en Linux:

Una de las herramientas mas utilizadas para esta función es LUKS

(Linux Unified Key Setup) que se utiliza con la librería CryptSetup:
Comando para cifrar una partición:
• # cryptsetup luksFormat /particion
Mapear el sistema cifrado
• # cryptsetup luksOpen /particion encrypted-fs

Añadir la partición al fstab para el arranque

• # tune2fs -l /dev/mapper/encrypted-fs | grep UUID
• # UUID=XXX_XXX /encrypted-fs ext4

Fuente: https://www.cyberseguridad.net/cybertruco-cifrar-particiones-linux-con-luks 21
 Herramientas de
Hardening
Cifrado de archivos en Linux:

La aplicación utilizada para esta función es GPG, aplicación que esta

incluida en la mayoría de las distribuciones, para utilizarla se debe
escribir el comando para cifrar un archivo:
# gpg --symetric nombre_archivo

El comando para descifrar:

# gpg --decrypt –o archivo_salida archivo_cifrado

Esta aplicación también permite realizar cifrado asimétrico, para lo cual

se deben crear las claves con el comando:
# gpg --gen-key

22
 Herramientas de
Hardening
Protección contra ARP Spoofing o Suplantación ARP:

Este ataque tiene por objetivo contaminar la tabla ARP (Address

Resolution Protocol) del servidor, de tal forma que envíe su tráfico a una
dirección IP falsa.

Como resultado, el atacante vincula su dirección MAC con la dirección

IP de un equipo legítimo (o servidor) en la red.

Una forma de evitar ser víctima de este

ataque es utilizando la herramienta arpwatch

Uso:
# arpwatch –n red –i interface

Fuente: https://www.archlinux.org/packages/community/x86_64/arpwatch/
23
 Herramientas de
Hardening
Log de ARP Arpwatch

24
 Herramientas de
Hardening
Jaulas con CHROOT:

El concepto de jaula permite crear un ambiente cerrado y aislado del

resto de componentes del Sistema Operativo, este proceso también
se conoce como “sandbox” o caja de arena.

En primer lugar se crea un directorio especial y se habilitan en él

todas las librerías básicas del Sistema Operativo, con los siguientes
comandos:

# mkdir /var/newroot
# cd /var/newroot
# ldd /bin/bash
# chroot ./

25
 Herramientas de
Hardening
Jaulas con CHROOT:

A continuación se debe especificar el usuario que hará las veces de

“root” dentro de la jaula:

# chroot –userspec=1001:1001 /var/chroot/

Donde 1001 es el id del usuario y 1001 es el grupo del usuario

Finalmente se agregan los comandos que se deseen ejecutar en la

jaula

# ldd /bin/ls para listar archivos

# ldd /usr/bin/whoami para identificar el usuario

26
 Herramientas de
Hardening
Esquema de jaulas con CHROOT

27
 Herramientas de
Hardening
Listas de control de acceso (ACL)

Permiten definir los atributos de usuarios en los archivos y directorios

del Sistema Operativo, sus comandos básicos son:

setfacl: se utiliza para establecer ACL en los archivos o directorios

getfacl: se utiliza para determinar las ACL que tiene configurado un
archivo o directorio

Ejemplo de asignación de ACL:

# setfacl –m u:user:rw- /nombre_archivo
# getfacl /nombre_archivo

28
 Herramientas de
Hardening
Almacenamiento de logs:

En Seguridad es fundamental mantener registros en línea de los

eventos mas importantes en forma centralizada y con un acceso ágil y
robusto.

Los eventos mas importantes que se deben registrar son:

• Inicios de sesión
• Accesos a recursos
• Intentos de ataque

Todo esto hace fundamental contar con un sistema de

almacenamiento de registros (logging) del que se pueda obtener
información valiosa para seguridad

29
 Herramientas de
Hardening
Almacenamiento de logs:

Las principales consideraciones que se deben tener para un sistema

de almacenamiento adecuado son:

Almacenamiento independiente: es fundamental que los registros se graben

en un servidor distinto a la fuente por efectos de carga de sistema y espacio
de almacenamiento

Rotación de logs: se debe determinar el tiempo máximo de almacenamiento

de acuerdo a los requerimientos del negocio o regulaciones, en base a este
parámetro deben ser eliminados los registros mas antiguos.

Logging de aplicaciones: es importante tener una buena capacidad de

interpretación de las diferentes aplicaciones

Análisis: debe tener la capacidad de permitir extraer información valiosa,

patrones o alertas que puedan ser útiles en un análisis forense.

30
 Herramientas de
Hardening
Habilitación de rsyslog en un servidor Linux

En el archivo de configuración /etc/rsyslog.conf configurar:

$ModLoad imupd
$UDPServerRun 514

Reiniciar el servicio:
# /etc/init.d/rsyslog restart

Comprobar el estado del servicio:

# netstat -puna

31
 Herramientas de
Hardening
Envío seguro de logs:

Como es sabido, el servicio rsyslog y sus similares envían y reciben la

información en texto claro, lo cual representa una brecha de
seguridad, una posible solución es habilitar TLS al servicio Rsyslog

Instalación:

# apt-get install rsyslog-gnutls

Configuración de /etc/rsyslog.conf

32
 Herramientas de
Hardening
Configuración cliente:

En general todas las aplicaciones clientes tienen la opción de

configurar un servidor de logs externo, en el caso del sistema
operativo Linux, en el archivo /etc/rsyslog.conf

*.*@direccion_IP_log_server

Comprobación de funcionamiento:
La forma mas utilizada es ejecutar el comando logger

# logger –t LOG “esto es una prueba”

A continuación se puede verificar el contenido del archivo de log en la

maquina remota con:

# tail –f /var/log/syslog
33
 Herramientas de
Hardening
Arquitectura de un sistema de logs centralizado

34
Preguntas, Conclusiones
y/o Reflexiones

35