Documentos de Académico
Documentos de Profesional
Documentos de Cultura
- CONFIGURACIÓN HARDENING
CAPA MEDIA
Código:
STIC3-COLTEL-DGP-FR-ID000
Nombre: PLANTILLA DE
CONFIGURACIÓN HARDENING ELABORACIÓN DOCUMENTOS
SISTEMAS OPERATIVOS UNIX/SOLARIS Fecha:29-11-2019
Versión: 1
REGISTRO DE CAMBIOS
VERSIÓN FECHA DE CAMBIO MOTIVO DEL CAMBIO
1
1
Código:
STIC3-COLTEL-DGP-FR-ID000
Nombre: PLANTILLA DE
CONFIGURACIÓN HARDENING ELABORACIÓN DOCUMENTOS
SISTEMAS OPERATIVOS UNIX/SOLARIS Fecha:29-11-2019
Versión: 1
TABLA DE CONTENIDO
Pág.
1. NTRODUCCIÓN..............................................................................................................................
2. OBJETIVO.......................................................................................................................................
3. ALCANCE........................................................................................................................................
4. DEFINICIONES................................................................................................................................
5. Aseguramiento Weblogic.................................................................................................................
5.1. Configurar las páginas de error...............................................................................................
5.2. Parchado periodico según Boletin de Seguridad weblogic......................................................
5.3. Utilice un sistema de archivos que pueda prevenir accesos no autorizado.............................
5.4. No ejecute servidores web como root......................................................................................
5.5. Aplicar al Sistema operative conjuntos de parches de seguridad............................................
5.6. Habilite la auditoría de seguridad............................................................................................
5.7. Establezca el número de sockest permitidos en un servidor para prevenir ataques DoS.......
5.8. Contraseñas encriptadas en el boot.properties.......................................................................
6. Aseguramiento IIS............................................................................................................................
6.1. ASP.NET - Concurrency Configuration....................................................................................
6.2. Application Pool - Regular Time Interval Recycling.................................................................
6.3. Web Server Content Security..................................................................................................
6.4. SSL - SSL 2.0 Server Enabled................................................................................................
6.5. SSL - SSL 3.0 Client Enabled SSL y SSL 3.0 Server Enabled................................................
6.6. SSL - TLS 1.1 Server Disabled..............................................................................................10
6.7. SSL - TLS 1.2 Server Disabled..............................................................................................10
6.8. Event Log - IIS Configuration Auditing...................................................................................11
6.9. Practicas de seguridad recomendadas por Microsoft............................................................11
6.10. IIS Crypto SSL TLS.............................................................................................................. 13
6.11. Tunning APP Pool................................................................................................................. 14
7. Aseguramiento Apache.................................................................................................................. 15
7.1. Eliminar documentos por default que vienen con la instalación del apache..........................15
7.2. Deshabilitar ver la solicitud TRACE a un servidor apache.....................................................15
7.3. Proteger de ataques XSS...................................................................................................... 15
7.4. Ocultar la versión de la capa media.......................................................................................15
7.5. Ocultar directorios de la aplicación mediante la web.............................................................15
7.6. Evitar ataques de confidencialidad se agrega esta línea en el httpd.conf.............................15
7.7. Evitar vulnerar la integridad del apache.................................................................................16
2
Código:
STIC3-COLTEL-DGP-FR-ID000
Nombre: PLANTILLA DE
CONFIGURACIÓN HARDENING ELABORACIÓN DOCUMENTOS
SISTEMAS OPERATIVOS UNIX/SOLARIS Fecha:29-11-2019
Versión: 1
3
Código:
STIC3-COLTEL-DGP-FR-ID000
Nombre: PLANTILLA DE
CONFIGURACIÓN HARDENING ELABORACIÓN DOCUMENTOS
SISTEMAS OPERATIVOS UNIX/SOLARIS Fecha:29-11-2019
Versión: 1
1. NTRODUCCIÓN
2. OBJETIVO
3. ALCANCE
Esta plantilla contiene un índice sugerido para dar cumplimiento a los requerimientos de
información mínimos que deben contener los documentos de configuración que se requieren
para todos los componentes de sistema que se encuentren dentro de la infraestructura de la
Entidad y para las nuevas implementaciones.
4. DEFINICIONES
4
Código:
STIC3-COLTEL-DGP-FR-ID000
Nombre: PLANTILLA DE
CONFIGURACIÓN HARDENING ELABORACIÓN DOCUMENTOS
SISTEMAS OPERATIVOS UNIX/SOLARIS Fecha:29-11-2019
Versión: 1
5. Aseguramiento Weblogic
<error-page>
<location>/general-error.html</location>
</error-page>
5
Código:
STIC3-COLTEL-DGP-FR-ID000
Nombre: PLANTILLA DE
CONFIGURACIÓN HARDENING ELABORACIÓN DOCUMENTOS
SISTEMAS OPERATIVOS UNIX/SOLARIS Fecha:29-11-2019
Versión: 1
Nota: no olvide tener actualizado el opatch o bsu para una acción correcta de parchado
• El valor de los descriptores open file debe estar en al menos 65000 para el
uusario oracle
/etc/security/limits.conf
6
Código:
STIC3-COLTEL-DGP-FR-ID000
Nombre: PLANTILLA DE
CONFIGURACIÓN HARDENING ELABORACIÓN DOCUMENTOS
SISTEMAS OPERATIVOS UNIX/SOLARIS Fecha:29-11-2019
Versión: 1
• El servidor web debe ejecutarse solo como un usuario sin privilegios, nunca
como root.
• La estructura de directorios en la que se encuentra el servidor web, incluidos
todos los archivos, debe protegerse del acceso de usuarios sin privilegios.
Seguir estos pasos ayuda a garantizar que los usuarios sin privilegios no puedan
insertar código que pueda potencialmente ser ejecutado por el servidor Web.
Para evitar algunos ataques DoS, limite el número de sockets permitidos para un
servidor para que haya menos sockets que el número permitido para el proceso
completo. Esto asegura que la cantidad de descriptores de archivo permitidos por
los límites del sistema operativo no se supera. Incluso después de que se exceda
el límite del servidor, los administradores pueden acceder al servidor a través del
puerto de administración.
Puede realizar esta configuración mediante el indicador MaxOpenSockCount.
7
Código:
STIC3-COLTEL-DGP-FR-ID000
Nombre: PLANTILLA DE
CONFIGURACIÓN HARDENING ELABORACIÓN DOCUMENTOS
SISTEMAS OPERATIVOS UNIX/SOLARIS Fecha:29-11-2019
Versión: 1
6. Aseguramiento IIS
8
Código:
STIC3-COLTEL-DGP-FR-ID000
Nombre: PLANTILLA DE
CONFIGURACIÓN HARDENING ELABORACIÓN DOCUMENTOS
SISTEMAS OPERATIVOS UNIX/SOLARIS Fecha:29-11-2019
Versión: 1
Se sugiere dejar en dos reclicye en horas valle (ejemplo 5AM y 12 del dia)
9
Código:
STIC3-COLTEL-DGP-FR-ID000
Nombre: PLANTILLA DE
CONFIGURACIÓN HARDENING ELABORACIÓN DOCUMENTOS
SISTEMAS OPERATIVOS UNIX/SOLARIS Fecha:29-11-2019
Versión: 1
6.5. SSL - SSL 3.0 Client Enabled SSL y SSL 3.0 Server Enabled
En la siguiente ruta del Regedit se debe realizar las siguientes modificaciones:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\
SCHANNEL\Protocols\
Se debe crear la llave SSL 3.0 dentro de esta llave se crear las siguientes llaves:
Llave Client y dentro de esta se crean los RWG_DWORD:
DisabledByDefault con un valor Hexadecimal 1
Enabled con un valor Hexadecimal 0
10
Código:
STIC3-COLTEL-DGP-FR-ID000
Nombre: PLANTILLA DE
CONFIGURACIÓN HARDENING ELABORACIÓN DOCUMENTOS
SISTEMAS OPERATIVOS UNIX/SOLARIS Fecha:29-11-2019
Versión: 1
Se debe crear la llave TLS 1.1 dentro de esta llave se crear las siguientes llaves:
Llave Client y dentro de esta se crean el RWG_DWORD:
Enabled con un valor Hexadecimal 1
El eventvwr se puede habilitar IIS Configuration Audit con los siguientes pasos:
11
Código:
STIC3-COLTEL-DGP-FR-ID000
Nombre: PLANTILLA DE
CONFIGURACIÓN HARDENING ELABORACIÓN DOCUMENTOS
SISTEMAS OPERATIVOS UNIX/SOLARIS Fecha:29-11-2019
Versión: 1
12
Código:
STIC3-COLTEL-DGP-FR-ID000
Nombre: PLANTILLA DE
CONFIGURACIÓN HARDENING ELABORACIÓN DOCUMENTOS
SISTEMAS OPERATIVOS UNIX/SOLARIS Fecha:29-11-2019
Versión: 1
Aislar el contenido.
Asegúrese de establecer una ACL (lista de control de acceso) en cada raíz del sitio para
permitir el acceso solo a la identidad de proceso adecuada.
Si utiliza la autenticación de Windows, active la protección extendida.
Protección extendida protege contra la retransmisión de credenciales y phishing ataques al
utilizar la autenticación de Windows. Para obtener más información acerca de la protección
extendida y cómo activar en IIS.
Tenga en cuenta que al configurar la autenticación anónima junto con otro tipo de
autenticación para el mismo sitio Web puede causar problemas de autenticación.
Si configura la autenticación anónima y otro tipo de autenticación, el resultado está
determinado por el orden en que se ejecutarán los módulos. Por ejemplo, si son la
autenticación anónima y la autenticación de Windows anónima y configurada la
autenticación ejecuta en primer lugar, nunca se ejecuta la autenticación de Windows.
Deshabilitar el acceso anónimo a los directorios de servidor y recursos.
Si desea conceder a un usuario el acceso a los directorios del servidor y los recursos, utilice
un método de autenticación que no es anónimo.
Permite operaciones de escritura anónimos en el servidor.
Autenticar al usuario con un método que no es anónimo antes de permitir que el usuario
puede cargar nada al sitio Web o un sitio FTP.
Asegúrese de que están habilitadas las reglas de filtrado de solicitudes.
Los filtros restringen los tipos de solicitudes HTTP de la solicitud que IIS 8 procesos. Al
bloquear solicitudes HTTP concretas, los filtros de solicitudes ayudan a evitar que lleguen al
servidor solicitudes que pueden ser perjudiciales. El módulo de filtro de solicitudes examina
las solicitudes entrantes y rechaza las no deseadas a partir de reglas configuradas. Sitios
Web y sitios FTP deben tener la protección filtro solicitud proporcionan las reglas. Para más
información sobre el filtrado de solicitudes.
Asegúrese de que los límites de la solicitud se establecen en valores razonables.
Pensar sobre los valores que se asignan a parámetros de configuración. Por ejemplo,
asegúrese de que un valor de límite superior es mayor que un valor de límite inferior. De lo
contrario, nunca puede activar el filtro.
No utilice las identidades de servicio integrada (como servicio de red, servicio Local o
sistema Local).
Para mayor seguridad, grupos de aplicaciones deben ejecutarse bajo la identidad del grupo
de aplicaciones que se genera cuando se crea el grupo de aplicaciones. Las cuentas que
están integradas IIS son LocalSystem, NetworkService, LocalService y
ApplicationPoolIdentity. El valor predeterminado (recomendado) y más segura es
ApplicationPoolIdentity.
Uso de una cuenta de identidad personalizada es aceptable, pero asegúrese de usar una
cuenta diferente para cada grupo de aplicaciones.
Disponer de una muy buena monitorización.
Revisar rendimiento, logs de aplicación, de IIS,… Una vigilancia diaria de esta información
nos puede alertar de cualquier comportamiento anómalo de la aplicación debido a un
posible ataque informático.
Mantener una actualización al día tanto de sistema operativo como de software del servidor.
Después de cada actualización es necesario revisar el funcionamiento de la aplicación.
Utilizar herramientas tanto de Microsoft como de terceros para realizar análisis más en
profundidad de la aplicación a nivel de seguridad. Algunas son:
13
Código:
STIC3-COLTEL-DGP-FR-ID000
Nombre: PLANTILLA DE
CONFIGURACIÓN HARDENING ELABORACIÓN DOCUMENTOS
SISTEMAS OPERATIVOS UNIX/SOLARIS Fecha:29-11-2019
Versión: 1
Como sugerencia de configuración para los protocolos SSL tls, y algoritmos, puede usar la
herramienta IISCrycto para validar y configurar el estado SSL y TLS
14
Código:
STIC3-COLTEL-DGP-FR-ID000
Nombre: PLANTILLA DE
CONFIGURACIÓN HARDENING ELABORACIÓN DOCUMENTOS
SISTEMAS OPERATIVOS UNIX/SOLARIS Fecha:29-11-2019
Versión: 1
Dejar los parametros Queue length en 5000 , start mode en ALWAYS RUNNING y establecer un %
de uso maximo de la cpu, se recomeinda entre 80% a 85%
15
Código:
STIC3-COLTEL-DGP-FR-ID000
Nombre: PLANTILLA DE
CONFIGURACIÓN HARDENING ELABORACIÓN DOCUMENTOS
SISTEMAS OPERATIVOS UNIX/SOLARIS Fecha:29-11-2019
Versión: 1
7. Aseguramiento Apache
7.1. Eliminar documentos por default que vienen con la instalación del apache
16
Código:
STIC3-COLTEL-DGP-FR-ID000
Nombre: PLANTILLA DE
CONFIGURACIÓN HARDENING ELABORACIÓN DOCUMENTOS
SISTEMAS OPERATIVOS UNIX/SOLARIS Fecha:29-11-2019
Versión: 1
Diría que esta es una de las primeras cosas a considerar, ya que no desea
exponer qué versión del servidor web está utilizando. Exponer la versión
significa que está ayudando al hacker a acelerar el proceso de reconocimiento.
La configuración predeterminada expondrá la versión de Apache y el tipo de
sistema operativo como se muestra a continuación.
Go to $Web_Server/conf folder
Modify httpd.conf by using the vi editor
Add the following directive and save the httpd.conf
ServerTokens Prod
ServerSignature Off
# groupadd apache
# useradd –G apache apache
17
Código:
STIC3-COLTEL-DGP-FR-ID000
Nombre: PLANTILLA DE
CONFIGURACIÓN HARDENING ELABORACIÓN DOCUMENTOS
SISTEMAS OPERATIVOS UNIX/SOLARIS Fecha:29-11-2019
Versión: 1
Vaya a $Web_Server/conf
Modificar httpd.conf usando vi
Busque la directiva de usuario y grupo y cambie como apache de cuenta
sin privilegios
apache de usuario
Grupo apache
Guarde el httpd.conf
reiniciar apache
grep para ejecutar el proceso http y asegurarse de que se esté ejecutando con
el usuario de apache
Debería ver que un proceso se está ejecutando con root. Eso es porque
Apache está escuchando en el puerto 80 y debe iniciarse con la raíz.
Ir al directorio $Web_Server
Cambiar el permiso de la carpeta bin y conf
# chmod –R 750 bin conf
18
Código:
STIC3-COLTEL-DGP-FR-ID000
Nombre: PLANTILLA DE
CONFIGURACIÓN HARDENING ELABORACIÓN DOCUMENTOS
SISTEMAS OPERATIVOS UNIX/SOLARIS Fecha:29-11-2019
Versión: 1
19
Código:
STIC3-COLTEL-DGP-FR-ID000
Nombre: PLANTILLA DE
CONFIGURACIÓN HARDENING ELABORACIÓN DOCUMENTOS
SISTEMAS OPERATIVOS UNIX/SOLARIS Fecha:29-11-2019
Versión: 1
20
Código:
STIC3-COLTEL-DGP-FR-ID000
Nombre: PLANTILLA DE
CONFIGURACIÓN HARDENING ELABORACIÓN DOCUMENTOS
SISTEMAS OPERATIVOS UNIX/SOLARIS Fecha:29-11-2019
Versión: 1
Tiempo de espera 60
7.16. SSL
Tener SSL es una capa adicional de seguridad que está agregando a la
aplicación web. Sin embargo, la configuración SSL predeterminada genera
ciertas vulnerabilidades y debería considerar ajustar esas configuraciones.
Como sabrá, con una PC de la era 2009 funcionando durante unos 73 días,
puede aplicar ingeniería inversa a una clave de 512 bits.
Outlook.com
Microsoft.com
vivir.com
Skype.com
Apple.com
yahoo.com
Bing.com
hotmail.com
Twitter.com
Puede usar OpenSSL para generar CSR con 2048 bits como se muestra a
continuación.
21
Código:
STIC3-COLTEL-DGP-FR-ID000
Nombre: PLANTILLA DE
CONFIGURACIÓN HARDENING ELABORACIÓN DOCUMENTOS
SISTEMAS OPERATIVOS UNIX/SOLARIS Fecha:29-11-2019
Versión: 1
Implementemos el servidor web apache para que acepte solo el TLS más
reciente y rechace la solicitud de conexión SSL v2/v3.
22
Código:
STIC3-COLTEL-DGP-FR-ID000
Nombre: PLANTILLA DE
CONFIGURACIÓN HARDENING ELABORACIÓN DOCUMENTOS
SISTEMAS OPERATIVOS UNIX/SOLARIS Fecha:29-11-2019
Versión: 1
paquete libpcre
paquete libxml2
paquete liblua
paquete libcurl
Paquete libapr y libapr-util
módulo mod_unique_id incluido con el servidor web Apache
Ahora, descarguemos la última versión estable de Mod Security 2.7.5 desde
aquí
23
Código:
STIC3-COLTEL-DGP-FR-ID000
Nombre: PLANTILLA DE
CONFIGURACIÓN HARDENING ELABORACIÓN DOCUMENTOS
SISTEMAS OPERATIVOS UNIX/SOLARIS Fecha:29-11-2019
Versión: 1
8.4. Users-tomcat.xml
Este file debe estar solo lectura y escritura del usuario apache tomcat7 o similar
8.5. Ulimit
24
Código:
STIC3-COLTEL-DGP-FR-ID000
Nombre: PLANTILLA DE
CONFIGURACIÓN HARDENING ELABORACIÓN DOCUMENTOS
SISTEMAS OPERATIVOS UNIX/SOLARIS Fecha:29-11-2019
Versión: 1
• El valor de los descriptores open file debe estar en al menos 65000 para el
uusario tomcat
/etc/security/limits.conf
9. Anexos
https://msdn.microsoft.com/es-es/library/jj635855(v=ws.11).aspx
https://technet.microsoft.com/es-es/library/ms172965(v=sql.105).aspx
https://technet.microsoft.com/en-us/library/cc731278(v=ws.10).aspx
25