Qu es Hardening?

Hardening (palabra en ingles que significa endurecimiento) en seguridad informtica es el proceso de asegurar un sistema mediante la reduccin de vulnerabilidades en el mismo, esto se logra eliminando software, servicios, usuarios, etc. Innecesarios en el sistema as como cerrando puertos que tampoco estn en uso adems de muchas otros mtodos y tcnicas que veremos durante este pequeo manual introductorio al Hardening de sistemas.

Conceptos bsicos
IDS: Un sistema de deteccin de intrusos (o IDS de sus siglas en ingls Intrusion Detection System) es un programa usado para detectar accesos desautorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan herramientas automticas. HIDS: (Host-based intrusion detection system) Sistema de deteccin de intrusos en un Host. Busca detectar anomalas que indican un riesgo potencial, revisando las actividades en la mquina (host). Puede tomar medidas protectoras. NIDS: Sistema de deteccin de intrusos en una Red. Busca detectar anomalas que inicien un riesgo potencial, tales como ataques de denegacin de servicio, scanner de puertos o intentos de entrar en un ordenador, analizando el trfico en la red en tiempo real. Para ello, analiza todos los paquetes, buscando en ellos patrones sospechosos. Los NIDS no slo vigilan el trfico entrante, sino tambin el saliente o el trfico local, ya que algunos ataques podran ser iniciados desde el propio sistema protegido. A pesar de la vigilancia, su influencia en el trfico es casi nula. Snort: Es un sniffer de paquetes y un detector de intrusos basado en red (se monitoriza todo un dominio de colisin). Es un software muy flexible que ofrece capacidades de almacenamiento de sus bitcoras tanto en archivos de texto como en bases de datos abiertas como lo es MySQL. Implementa un motor de deteccin de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomala previamente definida. As mismo existen herramientas de terceros para mostrar informes en tiempo real (ACID) o para convertirlo en un Sistema Detector y Preventor de Intrusos.

Amenaza: Es un evento que pueden desencadenar un incidente en la organizacin, produciendo daos materiales o prdidas inmateriales en sus activos. Anlisis de riesgos: El activo ms importante que se posee es la informacin y, por lo tanto, deben existir tcnicas que la aseguren, ms all de la seguridad fsica que se establezca sobre los equipos en los cuales se almacena. Estas tcnicas las brinda la seguridad lgica que consiste en la aplicacin de barreras y procedimientos que resguardan el acceso a los datos y slo permiten acceder a ellos a las personas autorizadas para hacerlo. Vulnerabilidades: Una vulnerabilidad en seguridad informtica hace referencia a una debilidad en un sistema permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad, control de acceso y consistencia del sistema o de sus datos y aplicaciones. Criptografa: La criptografa (del griego krypto, oculto, y graphos, escribir, literalmente escritura oculta) es el arte o ciencia de cifrar y descifrar informacin utilizando tcnicas que hagan posible el intercambio de mensajes de manera segura que slo puedan ser ledos por las personas a quienes van dirigidos. Antivirus: Los antivirus son programas cuya funcin es detectar y eliminar Virus informticos y otros programas maliciosos (a veces denominados malware). Bsicamente, un antivirus compara el cdigo de cada archivo con una base de datos de los cdigos (tambin conocidos como firmas o vacunas) de los virus conocidos, por lo que es importante actualizarla peridicamente a fin de evitar que un virus nuevo no sea detectado. Firewall: Un cortafuegos (o firewall en ingls) es un elemento de hardware o software que se utiliza en una red de computadoras para controlar las comunicaciones, permitindolas o prohibindolas segn las polticas de red que haya definido la organizacin responsable de la red. Su modo de funcionar es indicado por la recomendacin RFC 2979, que define las caractersticas de comportamiento y requerimientos de interoperabilidad. VPN: La Red Privada Virtual (RPV), en ingls Virtual Private Network (VPN), es una tecnologa de red que permite una extensin de la red local sobre una red pblica o no controlada , como por ejemplo Internet. DMZ: En seguridad informtica, una zona desmilitarizada (DMZ, demilitarized zone) o red perimetral es una red local que se ubica entre la red interna de una organizacin y una red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estn permitidas, mientras que las conexiones desde la DMZ

slo se permitan a la red externa los equipos (hosts) en la DMZ no pueden conectar con la red interna. GPG: GPG o GNU Privacy Guard es una herramienta para cifrado y firmas digitales, que viene a ser un reemplazo del PGP (Pretty Good Privacy) pero con la principal diferencia que es software libre licenciado bajo la GPL. GPG utiliza el estndar del IETF denominado OpenPGP. HoneyPot: Se denomina Honeypot al software o conjunto de computadores cuya intencin es atraer a crackers o spammers, simulando ser sistemas vulnerables o dbiles a los ataques. Es una herramienta de seguridad informtica utilizada para recoger informacin sobre los atacantes y sus tcnicas. Los Honeypots pueden distraer a los atacantes de las mquinas ms importantes del sistema, y advertir rpidamente al administrador del sistema de un ataque, adems de permitir un examen en profundidad del atacante, durante y despus del ataque al honeypot. HoneyNet: Los Honeynet son un tipo especial de Honeypots de alta interaccin que actan sobre una red entera, diseada para ser atacada y recobrar as mucha ms informacin sobre posibles atacantes. Se usan equipos reales con sistemas operativos reales y corriendo aplicaciones reales.

Beneficios del Hardening de sistemas:

Asegura que los recursos crticos tengan los parches actualizados y sean capaces de defenderse contra vulnerabilidades conocidas. Facilita el despliegue rpido de una configuracin de referencia base segura y fcil de auditora de un servidor frente a cambios inesperados. Mejora la seguridad de sus sistemas frente a amenazas internas y externas. Reduce los riesgos asociados con fraude y error humano.

Proceso de Hardening
Instalacin Inicial del sistema: En el servidor 0 Km, realice la instalacin del sistema operativo a utilizar, recuerde que desde el inicio deber considerara el cambio de contraseas y configuraciones de fabrica (Requerido por la norma), cualquier cambio debe documentarlo en una bitcora.

Remover el software innecesario: Luego de terminar con la instalacin del sistema operativo, el primer paso es remover cualquier software que se haya instalado en el sistema (como parte de un paquete predeterminado) y que no sea requerido para la funcin nica del mismo. Ej. En un Servidor de archivos no va a requerir un servicio Web o un controlador de dominio un programas de oficina (Word, Excel, Acrobat Reader), como norma general si no lo requiere no debe existir. Remover o deshabilitar los usuarios innecesarios: Los sistemas operativos por lo general configuran usuarios de distintos tipos, si estos no son requeridos elimnelos, si no puede eliminarlos inactivos (ej. usuario invitado) y como adicional sera recomendable renombrar usuarios como el Administrador. Recuerde siempre cambiar las contraseas establecidas en la configuracin predeterminada Remover o deshabilitar los servicios innecesarios: De la misma forma, remueva todo servicio innecesario del sistema si este no es explcitamente requerido por la funcin del servidor. Si no es posible removerlos, deshabiltelos, pero recuerde que siempre permanece latente el riesgo de que sean activados por error o como parte de un ataque. Aplicar todos los parches innecesarios al sistema operativo: Realizados los pasos anteriores, es momento de aplicar todos los parches de seguridad y de sistema que ha publicado el fabricante. Adicionalmente en este momento es cuando se pueden aplicar los procesos de endurecimiento recomendados por los fabricantes del sistema, los mismos que contemplaran varias tareas adicionales a las ya mencionadas. Instalar aplicaciones requeridas: Una vez que el sistema base ya est instalado y endurecido, es el momento de instalar los aplicativos y funciones de terceros en el sistema. En este caso se deben considerar los pasos anteriores en como un subproceso de endurecimiento, removiendo todos las funcionalidades no requeridas por la aplicacin, cambiando las configuraciones y contraseas de fabrica y aplicando recomendaciones de endurecimiento del fabricante (Ej. Instalacin de Oracle) Aplicar los parches a las aplicaciones: Realizados estos pasos se deber aplicar todos los parches de seguridad y de aplicacin recomendados por el fabricante. Ejecutar aplicacin de deteccin de vulnerabilidades: Este punto es muy importante ya que aun que se haya realizado a conciencia todos los pasos anteriores, una buena herramienta de identificacin de vulnerabilidades nos ayudara a identificar problemas aun ocultos, los cuales debern ser corregidos de forma apropiada y en los casos en los que no exista solucin, se deber contemplar, la implementacin de controles compensatorios. Este paso requerir de documentacin adicional y de la calendarizacin del proceso de descubrimiento de vulnerabilidades en forma trimestral.

Certificar el sistema para PCI-DSS: En este punto, se debern revisar las consideraciones referentes a los requerimientos de la norma, es apropiado que la organizacin establezca una lista de revisin que contemple cada uno de los requerimientos de la norma que afectan a los sistemas en produccin. Ej. Contraseas de no menos de 7 caracteres, funciones adicionales eliminadas, configuracin correcta del sistema de bitcoras, monitorizacin de usuarios administradores, instalacin de antivirus, etc. Entrada en produccin: Por ultimo con el sistema endurecido y certificado para entrar en produccin se deber entrar en el proceso de paso a produccin tomando en cuenta las consideraciones respectivas que son parte de cualquier implementacin.

Referencias:

System-Hardening.htm yourwindow.to infopeople.org http://labs.dragonjar.org/hardening-conceptos-basicos wiki/Hardening_(computing) A Process Checklist for System Hardening