TRABAJO SENA

HARDENING

DANIEL STIVEN CORTES RAMÍREZ

FICHA TÉCNICA: 1829920
• ¿Qué es Hardening?

Hardening es el proceso de asegurar un sistema mediante

la reducción de vulnerabilidades en el mismo, esto se
logra eliminando software, servicios, usuarios, etc;
innecesarios en el sistema; así como cerrando puertos que
tampoco estén en uso.
En conclusión es un conjunto de actividades que son
llevadas a cabo por el administrador de un sistema
operativo para reforzar al máximo posible la seguridad del
equipo
• CONCEPTOS BASICOS
• IDS: Un sistema de detección de intrusos (o IDS de
sus siglas en inglés Intrusion Detection System) es un
programa usado para detectar accesos desautorizados
a un computador o a una red. Estos accesos pueden ser
ataques de habilidosos hackers, o de Script Kiddies
que usan herramientas automáticas.
• HIDS: (Host-based intrusion detection system) Sistema de
detección de intrusos en un Host. Busca detectar anomalías
que indican un riesgo potencial, revisando las actividades en
la máquina (host). Puede tomar medidas protectoras.
• NIDS: Sistema de detección de intrusos en una Red. Busca
detectar anomalías que inicien un riesgo potencial, tales
como ataques de denegación de servicio, escaneadores de
puertos o intentos de entrar en un ordenador, analizando el
tráfico en la red en tiempo real. Para ello, analiza todos los
paquetes, buscando en ellos patrones sospechosos. Los NIDS
no sólo vigilan el tráfico entrante, sino también el saliente o
el tráfico local, ya que algunos ataques podrían ser iniciados
desde el propio sistema protegido. A pesar de la vigilancia, su
influencia en el tráfico es casi nula.
• Snort: Es un sniffer de paquetes y un detector de
intrusos basado en red (se monitoriza todo un dominio
de colisión). Es un software muy flexible que ofrece
capacidades de almacenamiento de sus bitácoras tanto
en archivos de texto como en bases de datos abiertas
como lo es MySQL. Implementa un motor de
detección de ataques y barrido de puertos que permite
registrar, alertar y responder ante cualquier anomalía
previamente definida. Así mismo existen herramientas
de terceros para mostrar informes en tiempo real
(ACID) o para convertirlo en un Sistema Detector y
Preventor de Intrusos.
• Amenaza: Es un evento que pueden desencadenar un
incidente en la organización, produciendo daños
materiales o pérdidas inmateriales en sus activos.
Análisis de riesgos: El activo más importante que se
posee es la información y, por lo tanto, deben existir
técnicas que la aseguren, más allá de
la seguridad física que se establezca sobre los equipos
en los cuales se almacena. Estas técnicas las brinda la
seguridad lógica que consiste en la aplicación de
barreras y procedimientos que resguardan el acceso a
los datos y sólo permiten acceder a ellos a las personas
autorizadas para hacerlo.
• Vulnerabilidades: Una vulnerabilidad en seguridad
informática hace referencia a una debilidad en un sistema
permitiendo a un atacante violar la confidencialidad,
integridad, disponibilidad, control de acceso y
consistencia del sistema o de sus datos y aplicaciones.
Criptografía: La criptografía (del griego krypto,
«oculto», y graphos, «escribir», literalmente «escritura
oculta») es el arte o ciencia de cifrar y descifrar
información utilizando técnicas que hagan posible el
intercambio de mensajes de manera segura que sólo
puedan ser leídos por las personas a quienes van
dirigidos.
• Antivirus: Los antivirus son programas cuya función es detectar y
eliminar Virus informáticos y otros programas maliciosos (a veces
denominados malware).
Básicamente, un antivirus compara el código de cada archivo con
una base de datos de los códigos (también conocidos como firmas o
vacunas) de los virus conocidos, por lo que es importante
actualizarla periódicamente a fin de evitar que un virus nuevo no
sea detectado.
Firewall: Un cortafuegos (o firewall en inglés) es un elemento de
hardware o software que se utiliza en una red de computadoras para
controlar las comunicaciones, permitiéndolas o prohibiéndolas
según las políticas de red que haya definido la organización
responsable de la red. Su modo de funcionar es indicado por la
recomendación RFC 2979, que define las características de
comportamiento y requerimientos de interoperabilidad.
• VPN: La Red Privada virtual (RPV), en inglés Virtual Private Network
(VPN), es una tecnología de red que permite una extensión de la red
local sobre una red pública o no controlada , como por ejemplo Internet.
DMZ: En seguridad informática, una zona desmilitarizada (DMZ,
demilitarized zone) o red perimetral es una red local que se ubica entre
la red interna de una organización y una red externa, generalmente
Internet. El objetivo de una DMZ es que las conexiones desde la red
interna y la externa a la DMZ estén permitidas, mientras que las
conexiones desde la DMZ sólo se permitan a la red externa — los
equipos (hosts) en la DMZ no pueden conectar con la red interna.
GPG: GPG o GNU Privacy Guard es una herramienta para cifrado y
firmas digitales, que viene a ser un reemplazo del PGP (Pretty Good
Privacy) pero con la principal diferencia que es software libre licenciado
bajo la GPL. GPG utiliza el estándar del IETF denominado OpenPGP.
• HoneyPot: Se denomina Honeypot al software o conjunto de
computadores cuya intención es atraer a crackers o spammers,
simulando ser sistemas vulnerables o débiles a los ataques. Es
una herramienta de seguridad informática utilizada para recoger
información sobre los atacantes y sus técnicas. Los Honeypots
pueden distraer a los atacantes de las máquinas más importantes
del sistema, y advertir rápidamente al administrador del sistema
de un ataque, además de permitir un examen en profundidad del
atacante, durante y después del ataque al honeypot.
HoneyNet: Los Honeynet son un tipo especial de Honeypots de
alta interacción que actúan sobre una red entera, diseñada para
ser atacada y recobrar así mucha más información sobre posibles
atacantes. Se usan equipos reales con sistemas operativos reales
y corriendo aplicaciones reales.
• Entre las actividades propias de un proceso de
Hardening se pueden contar las siguientes:
• Configuraciones necesarias para protegerse de
posibles ataques físicos o de hardware de la maquina:
• entre otras actividades destacan el upgrade del firmware,
el establecimiento de contraseñas complejas para el
arranque del equipo y la configuración de la BIOS la
deshabilitación de inicio de sistema para cualquier
unidad que no sea el disco duro principal, y en casos de
servidores, la deshabilitación de dispositivos ópticos,
USB o similares, para evitar cualquier entrada de
malware desde un medio de almacenamiento externo.
• Instalación segura del sistema operativo:
• Esto implica el considerar al menos dos participantes
primarias  (1 para el sistema operativo en sí y otra para
carpetas y archivos de importancia), el uso de un
sistema de archivos que tenga prestaciones de
seguridad, y el concepto de instalación mínima, es
decir, evitando la instalación de cualquier componente
de sistema que no sea necesario para el
funcionamiento del sistema.
• Activación y/o configuración adecuada de servicios de
actualizaciones automáticas:
• para asegurar que el equipo tendrá todos los parches
de seguridad que entrega el proveedor al día. En caso
de que se encuentre dentro de una corporación, es
adecuado instalar un servidor de actualizaciones, que
deberá probar en un entorno de laboratorio el impacto
de la instalación de actualizaciones antes de instalarlas
en producción.
• Instalación, configuración y mantención de programas
de seguridad:
• Tales como antivirus antispyware, y un filtro antispam
según las necesidades del sistema
• Configuración de la política local del sistema:
• considerando varios puntos relevantes:  Política de
contraseñas robusta, con claves caducables,
almacenamiento histórico de contraseñas (para no usar
contraseñas cíclicas), bloqueos de cuentas por intentos
erróneos y requisitos de complejidad de contraseñas
• Aplicaciones de Hardening:
• NovirusThanks Syshardener:
• La primera de las aplicaciones propuestas para reducir
la superficie de exposición de nuestro sistema
operativo es Syshardener. Actualmente en versión 1.0,
esta pequeña suite cuenta con un montón de ajustes
que podemos tocar referentes a servicios, firewall de
Windows, programas de terceros, etc.
• Hardentools
• Con el nombre de Hardentools tenemos otra herramienta para realizar
un bastionado ligero de Windows, en este caso como digo más acotado
a una serie de características específicas que podéis consultar a
continuación.
• Desactiva características de Windows
• Windows Script host
• Powershell / ISE (mediante explorador de Windows)
• Cmd.exe (mediante explorador de Windows)
• Desactiva características de Office
• Macros
• Ejecución de objetos OLE
• Ejecución de ActiveX
• Hard Configurator beta 3.1
• Otra aplicación que tenemos a nuestra disposición para retirar funciones a Windows es
Hard Configurator, disponible de forma gratuita en GitHub. Algo más confuso a la
hora de usar que los anteriores, pero merece la pena considerarlo.
• ¿Qué podemos modificar con Hard Configurator?
• Activar o desactivar Windows Script Host
• Activar o desactivar scripts de Windows Powershell
• Crear listas blancas según rutas o hashes
• Cambiar las políticas de restricción de software (SRP)
• Mostrar u ocultar la opción “ejecutar como administrador)
• Forzar Smartcreen para que verifique también los archivos no procedentes de internet
• Desactivar fuentes no confiables de Windows 10
• Desactivar ejecución de discos DVD/USB externos en Windows
• Activar la detección de PUA de Windows (PUA = Aplicación potencialmente no
deseada)
• Activar o desactivar asistencia remota en Windows, Consola remota o Registro
Remoto
• Proteger frente a escritura las subcarpetas dentro de C:\WIndows