Está en la página 1de 6

HARDENING DE SISTEMAS OPERATIVOS.

“Hardening” de Sistemas es una estrategia defensiva que protege contra los ataques removiendo servicios vulnerables e innecesarios, cerrando “huecos” de seguridad y asegurando los controles de acceso. Este proceso incluye la evaluación de arquitectura de seguridad de una empresa y la auditoría de la configuración de sus sistemas con el fin de desarrollar y implementar procedimientos de consolidación para asegurar sus recursos críticos. Estos procedimientos son personalizados para cada de negocios, actualizado como las amenazas evolucionan y automatizado para una fácil implementación y auditoría.

Tanto los piratas informáticos y sus herramientas son cada vez más sofisticados y omnipresentes, obligando a las empresas que para garantizar que sus sistemas estén siempre al día para defenderse de nuevos ataques. Con el servicio de “Hardening” de Sistemas, su compañía, además, puede protegerse contra las pérdidas financieras asociadas con el tiempo de fuera de servicio del sistema, el robo de la propiedad intelectual, el robo de información de clientes y la publicidad negativa.

Sistemas Soportados

Linux

Router y Switches

MSSQL Database

UNIX Server

Windows Desktop

Windows Server

Beneficios Nuestro sistema integral de servicio de endurecimiento ayuda a su empresa lograr lo siguiente:

Asegura que los recursos críticos tengas los “patches” actualizados y sean capaces de defenderse contra vulnerabilidades conocidas.

Habilitar el despliegue rápido de una configuración de referencia base segura y fácil de auditoría de un servidor para cambios inesperados.

Mejora la seguridad de sus sistemas "tanto como sea posible en previsión de una auditoría externa próxima

Garantiza la continuidad del negocio mediante la prevención de virus y troyanos se propaguen en sus sistemas.

Reducir los riesgos asociados con fraude y el error humano.

SISTEMAS OPERATIVOS.

HARDENING DE SISTEMA OPERATIVO.

 

Configuración de la red IPv6 Hay demonios que pueden funcionar con IPv6: sshd, apache, bind, xinetd, etc Detección

ifconfig | grep inet6

inet6: fe80 :: 21d: 7eff: fe00: af5d/64 Alcance: Vínculo

dirección inet6 ::: 1/128 Alcance: Anfitrión

Desactivación

● Crear un archivo / etc/modprobe.d/ipv6

Añadir este dentro de la línea: Instalar IPv6 / bin / true

Configuración de la red Zeroconf

Requiere un agujero en el cortafuegos para permitir el acceso Detección

la ruta | grep de enlace local

local de enlace 255.255.0.0 * U 0 0 0 eth2

Desactivación

Editar el archivo / etc / sysconfig / network

Añadir NOZEROCONF = yes

A continuación, retire el paquete avahi y sus dependencias

Hardening Red Hat Enterprise Linux 5

Configuración de la red Revisar demonios que escuchan Es probable que algunas cosas que son innecesarias Detección

netstat-tanp | grep LISTEN

Desactivación de demonios que escuchan

localizar el PID en el comando netstat

cat / proc / <pid> / cmdline

 

Si la ruta no está llena, cuando afecten o localizar a encontrar de utilidad

rpm-qf completa de la ruta-de-daemon

rpm-e paquete de

● Si difícil de eliminar debido a las dependencias:

chkconfig <service> Off

Configuración de la red iptables

● Los ajustes deben ser bastante buenos

● Para ver las reglas: service iptables status

Utilice una herramienta de interfaz gráfica de usuario si no están familiarizados con la sintaxis de regla de iptables

Usar nmap desde otra máquina para ver eficacia

Configuración de la red tcp_wrappers

● Incluso si iptables está en el empleo, configure esto por si acaso

Configure el / etc hosts.deny / a ALL: ALL

Buscar mediante el uso de: egrep libwrap / usr / bin / * / usr / bin / * | sort

Para cada programa encontrado, use su nombre bajo para poner derechos de acceso esperados (si hay alguno) esperan los derechos de acceso (si las hay)

Ejemplo: smbd: 192.168.1.

 

Eliminación DE demonio no utilizados

Retire todos los demonios (y paquetes) no se utiliza

Esto reduce la huella de ataque y mejora el rendimiento

Los demonios de muchos escuchan en la red y podría ser accesible Viendo

chkconfig-list

Desactivación

rpm-qf / etc / rc.d / init.d / nombre rpm-e nombre-paquete

O chkconfig <service> off Notas

Agregar cpuspeed speedshifting de la CPU y irqbalance de múltiples núcleos de CPU.

Desactive readahead, mcstransd, firstboot, (y NetworkManager para la máquinas sin conexión de red inalámbrica), ya que no son necesarios

Sistema de Tiempo Mantenga la hora del sistema en sincronía

Es posible que necesite para correlacionar el tiempo de los

acontecimientos dispares través de varias máquinas para determinar una cadena de acontecimientos Utilice NTP en cron job

Crear un archivo que contiene el archivo / etc / cron.daily / ntpdate la

Hardening Red Hat Enterprise Linux 5

después de crontab:

#!/ bin / sh / usr / sbin / ntpdate ntp-server donde ntp-servidor es el nombre o dirección IP del sitio del servidor NTP

Configurar demonios restantes bind

● Utilice paquete chroot

 

Utilizar las ACL

Tenga en cuenta que el servidor DNS se utiliza para (interno / externo) y sólo sirven para los DNS. No hagas tanto en una instancia de servidor.

● No permita las transferencias de zonas.

● No realice recursividad

apache

● Eliminar todos los módulos que no sean necesarios

● Utilice mod_security a los ataques de inyección de malezas fuera

Establecer correctamente Linux SE Booleanos para mantener la funcionalidad y la protección

Configurar demonios restantes Init

● Desactive el inicio interactivo editando el fichero / etc / sysconfig / init

Asegúrese PROMPT = no para desactivar

También añadir una contraseña para el modo de usuario único. Edit / etc / inittab

Agregue el siguiente ~ ~: S: wait :/ sbin / sulogin

Configurar demonios restantes At & cron

Sólo permita que las raíces y las personas con necesidad verificada para realizar trabajos cron

● Configuración de cron.allow y cron.deny

● Configuración equivalentes si tiene 'at' instalado

Configurar demonios restantes MySQL

Si la base de datos se utiliza internamente para la máquina, hacer escuchar en localhost

Cambiar las contraseñas

 

Configurar demonios restantes sshd

Activar sólo protocolo SSH2 (esto es por defecto en RHEL5)

Si multitarjeta, considere si necesita escuchar en todas las direcciones, o simplemente uno

No permita que las conexiones de root

Considere agregar permiso de grupo para las conexiones, la rueda de AllowGroups

Hardening Red Hat Enterprise Linux 5

Configuración de la red / etc / sysctl.conf ajustes No responder a las emisiones. Evita participar en un ataque Smurf net.ipv4.icmp_echo_ignore_broadcasts = 1 Habilitar la protección de los malos mensajes ICMP de error net.ipv4.icmp_ignore_bogus_error_responses = 1 Habilitar syncookies para la protección contra inundaciones SYN net.ipv4.tcp_syncookies = 1

Entrar de origen falsa, derrotado, y redirigir los paquetes net.ipv4.conf.all.log_martians = 1 net.ipv4.conf.default.log_martians = 1

No permitir los paquetes enrutados desde el origen net.ipv4.conf.all.accept_source_route = 0 net.ipv4.conf.default.accept_source_route = 0

 

Activar el filtrado inverso de paths

net.ipv4.conf.all.rp_filter = 1 net.ipv4.conf.default.rp_filter = 1

No permitir que personas ajenas modifiquen las tablas de enrutamiento

net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.default.accept_redirects = 0 net.ipv4.conf.all.secure_redirects = 0 net.ipv4.conf.default.secure_redirects = 0

No permitir el tráfico entre las redes o de actuar como un router

net.ipv4.ip_forward = 0 net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0

 

Preparación e instalación.

Si la máquina es una instalación nueva, protegerlo de tráfico de la red hostil, hasta que el sistema operativo está instalado y se endurece.

Considere la posibilidad de utilizar el Asistente para configuración de seguridad para ayudar a endurecer el host.

Service Packs y revisiones.

Instale los últimos Service Pack y actualizaciones de Microsoft.

Activar la notificación automática de la disponibilidad de los parches.

Hardening Windows Server 2008 R2.

Auditoría y Directivas de cuenta.

Configurar la directiva de auditoría, como se describe.

Ajustar la longitud de contraseña mínima.

Habilitar complejidad de la contraseña.

Configurar las opciones de registro de eventos.

 

Configuración de seguridad.

Desactivar anónima traducción SID / nombre. (Por defecto).

No permitir enumeraciones anónimas de cuentas SAM (por defecto)

No permitir la enumeración anónima de cuentas y recursos compartidos SAM.

Deshabilitar la cuenta de invitado. (Por defecto)

Descifrar o firmar digitalmente datos de canal seguro (siempre). (Por defecto)

Descifrar digitalmente datos de canal seguro (cuando sea posible). (Por defecto)

 

Firmar digitalmente datos de canal seguro (cuando sea posible). (Por defecto)

Coloque el mensaje de advertencia de la Universidad en el mensaje de texto para usuarios que intentan iniciar una sesión.

Desactivar el envío de la contraseña encriptada para conectarse a servidores de terceros pequeñas y medianas empresas.(Por defecto) anónimos. (Por defecto)

No permita que los permisos de Todos para aplicarse a usuarios anónimos. (Por defecto)

No permita que ningún canalizaciones con nombre para tener acceso de forma anónima.

No permita que ningún canalizaciones con nombre para tener acceso de forma anónima.

Asegúrese de que ninguna acción se puede acceder de forma anónima.

Seleccione la opción "clásica", como el intercambio y el modelo de seguridad para las cuentas locales. (Por defecto)

No almacene valores hash de LAN Administrador

Ajuste de LAN Manager nivel de autenticación de NTLMv2

Protección de seguridad adicionalq

Deshabilitar o desinstalar los servicios no utilizados.

Hardening Windows Server 2008 R2.

Deshabilitar o eliminar usuarios no utilizados.

Configurar derechos de usuario sea lo más segura posible.

Configurar los permisos del registro.

Pasos adicionales

Ajuste la fecha / hora del sistema y configurarlo para sincronizar con los servidores de tiempo en el campus.

 

Instalar y activar el software antivirus.

Instalar y activar software anti-spyware.

Configure el software antivirus con actualización diaria.

Configurar el software anti-spyware para actualizar todos los días.

Configuración de un protector de pantalla para bloquear la pantalla de la

consola de forma automática si el ordenador está desatendido.

Si el equipo no está protegido físicamente contra el acceso no autorizado,

establecer una contraseña de BIOS / firmware para evitar alteraciones en la

configuración de inicio del sistema.

Configurar el orden de arranque del dispositivo para evitar que el arranque no autorizado de los medios de comunicación alternativos. Systems proporcionara un almacenamiento seguro de la categoría de los datos requeridos por las necesidades de la confidencialidad, integridad y

disponibilidad.

La seguridad puede ser proporcionada por medios tales como,

pero no limitado a, el cifrado, controles de acceso, las auditorías del sistema de

archivos, asegurar físicamente los medios de almacenamiento, o cualquier combinación de éstos según se considere oportuno.

Instalar el software para comprobar la integridad de los archivos críticos del sistema operativo.

Si se utiliza RDP, establecer la conexión RDP de alto nivel de cifrado.

 

Para hacer

Hardening SOLARIS 10.

Si la máquina es una instalación nueva, protegerlo de tráfico de la red hostil, hasta que el sistema operativo está instalado y se endurece.

Los parches y el software adicional

Aplique los últimos parches del sistema operativo.

Activar la notificación automática de nuevos parches.

 

Minimizar los servicios del sistema.

 

Ajuste del núcleo

Activar la protección de pila.

Activar la protección de pila.

Inicio de sesi

Encienda el trazado de inetd.

Captura de los mensajes enviados a syslog AUTH.

Crear / var / adm / loginlog.

Registrar todos los intentos de acceso fallidos.

Activar el registro de cron.

Habilitar el sistema de contabilidad.

Archivos o Permisos de directorios o de acceso

Compruebe passwd, shadow, y permisos de grupo de archivos.w

Acceso al sistema, la autenticación y autorización

Desactivar la sesión: indicaciones que aparecen en los puertos serie.

Desactivar la sesión: indicaciones que aparecen en los puertos serie.

Crear / etc / ftpd / ftpusers.

Configurar TCP Wrappers.

Si los métodos adicionales de restringir las conexiones son necesarias, ponerlas en práctica.

Restringir las conexiones de root a la consola del sistema.

Hardening SOLARIS 10.

En sistemas basados en SPARC Solaris, establezca el modo de seguridad para evitar la EEPROM autorizado el arranque desde los medios de comunicación no convencionales.

Configuración de la consola se bloquee automáticamente si se deja sin vigilancia durante un período prolongado de tiempo.

 

Cuentas de usuario y el medio ambiente

Compruebe que no hay cuentas con los campos de contraseña vacía.

Establecer fuertes políticas de aplicación de contraseña.

Verifique que no haya UID 0 existan cuentas que no sea 'root'

Instalar, configurar y usar 'sudo' en lugar de "su root".

Pancartas de advertencia.

Crear banderas de advertencia para los servicios de entrada estándar.

Crear alerta de interfaz gráfica de usuario basados en los inicios de sesión.

Crear avisos para FTP daemon (si está en uso).

Crear el encendido de advertencia.

Systems proporcionará un almacenamiento seguro de la categoría I-los datos requeridos por las necesidades de la confidencialidad, integridad y disponibilidad. La seguridad puede ser proporcionada por medios tales como, pero no limitado a, el cifrado, controles de acceso, las auditorías del sistema de archivos, asegurar físicamente los medios de almacenamiento, o cualquier combinación de éstos según se considere oportuno.

Instalar el software para comprobar la integridad de los archivos críticos del sistema operativo.

Instalar y activar el software antivirus.

Configurar para actualizar la firma diaria en la carrera.

Configurar sincronización de hora mediante NTP.

Activar contabilidad de procesos en tiempo de arranque.