Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Introducción al bastionado
El bastionado (hardening, fortalecimiento o endurecimiento) es el proceso de asegurar un
sistema mediante la reducción de vulnerabilidades. Este proceso involucra o se relaciona
con distintos ámbitos y niveles dentro de los sistemas de una organización, cada uno de
los cuáles con sus características, elementos y técnicas o herramientas asociadas:
Ámbito Elementos involucrados
Normativa. Políticas de seguridad. Documento de políticas y planes directores de seguridad. ISO 27000. NIST. ENS. RGPD.
Procedimientos.
Sist. Operativo + aplicaciones Autenticación / gestión de credenciales. Control de procesos. Desarrollo seguro. Actualizaciones. Solucio-
nes antimalware. Directivas de ejecución. Servicios expuestos. Logs.
Como podemos observar en la tabla anterior, los aspectos relacionados con el bastionado
de nuestros sistemas son muy numerosos y, dependiendo de las circunstancias, cada uno
de ellos habrá que tenerlo en cuenta en mayor o menor medida en el proceso de fortifica-
ción.
En cualquiera de los casos, todo proceso de bastionado debe de regirse por tres principios
de actuación:
Defensa en profundidad.
Mínimo privilegio posible.
Mínimo punto de exposición.
1 Fuente: https://es.wikipedia.org/wiki/Defensa_en_profundidad
Página 1
Fuente:
https://upload.wikimedia.org/w
ikipedia/commons/b/bb/Nuclea
r_power_defense_in_depth.pn
g
El concepto de defensa en profundidad se basa en la premisa de que todo componente
de un sistema puede ser vulnerado, y por tanto no se debe delegar la seguridad de un sis-
tema en un único método o componente de protección.
El concepto de mínimo privilegio posible se basa en la idea de que los privilegios asigna-
dos a un usuario, servicio o proceso deben ser aquellos estrictamente necesarios para rea-
lizar la tarea asginada.
Aún a día de hoy, una situación típica en muchas empresas es que los usuarios, sobre
todo en entornos Windows, utilicen la cuenta de administrador o una cuenta de usuario
perteneciente al grupo de administradores. Esto se une al hecho de que, es muy habitual,
que las contraseñas utilizadas no guarden los requisitos mínimos de fortaleza, por lo que,
en caso de que algún atacante obtenga la contraseña de alguno de estos usuarios, dispon-
drá de acceso al sistema con privilegios de administrador. De la misma forma, si uno de
estos usuarios ejecuta algún malware, este se ejecutará con los máximos privilegios.
Lo mismo sucede con las aplicaciones, servicios y procesos, estos deben de ejecutarse
con los mínimos privilegios posibles para ejecutar su tarea.
La idea detrás del concepto de mínimo punto de exposición es que nuestro sistema debe de
utilizar unicamente los componentes y elementos mínimante necesarios para la función
para la que ha sido diseñado. Es decir, no debiera de existir ninguna aplicación, servicio o
incluso máquina que no sea necesaria.
Esto involucra tareas como deshabilitar aquellos servicios que se encuentran ejecutando
los servidores y no son necesarios, detectar y apagar máquinas que han sido utilizadas para
pruebas o proyectos pasados y que ya no están en uso, dar de baja a usuarios que dejan de
pertenecer a la organización, etc.
– Lectura recomendada: La importancia del bastionado / hardening de servido-
res: Parte 1 Parte 2 Parte 3
Página 2