HARDENING DE SISTEMAS OPERATIVOS.

Hardening de Sistemas es una estrategia defensiva que protege contra los ataques removiendo servicios vulnerables e innecesarios, cerrando huecos de seguridad y asegurando los controles de acceso. Este proceso incluye la evaluacin de arquitectura de seguridad de una empresa y la auditora de la configuracin de sus sistemas con el fin de desarrollar y implementar procedimientos de consolidacin para asegurar sus recursos crticos. Estos procedimientos son personalizados para cada de negocios, actualizado como las amenazas evolucionan y automatizado para una fcil implementacin y auditora. Tanto los piratas informticos y sus herramientas son cada vez ms sofisticados y omnipresentes, obligando a las empresas que para garantizar que sus sistemas estn siempre al da para defenderse de nuevos ataques. Con el servicio de Hardening de Sistemas, su compaa, adems, puede protegerse contra las prdidas financieras asociadas con el tiempo de fuera de servicio del sistema, el robo de la propiedad intelectual, el robo de informacin de clientes y la publicidad negativa. Sistemas Soportados

Linux Router y Switches MSSQL Database UNIX Server Windows Desktop Windows Server

Beneficios Nuestro sistema integral de servicio de endurecimiento ayuda a su empresa lograr lo siguiente:

Asegura que los recursos crticos tengas los patches actualizados y sean capaces de defenderse contra vulnerabilidades conocidas. Habilitar el despliegue rpido de una configuracin de referencia base segura y fcil de auditora de un servidor para cambios inesperados. Mejora la seguridad de sus sistemas "tanto como sea posible en previsin de una auditora externa prxima Garantiza la continuidad del negocio mediante la prevencin de virus y troyanos se propaguen en sus sistemas. Reducir los riesgos asociados con fraude y el error humano.

SISTEMAS OPERATIVOS.

Hardening Red Hat Enterprise Linux 5

HARDENING DE SISTEMA OPERATIVO. Configuracin de la red IPv6 Hay demonios que pueden funcionar con IPv6: sshd, apache, bind, xinetd, etc Deteccin ifconfig | grep inet6 inet6: fe80 :: 21d: 7eff: fe00: af5d/64 Alcance: Vnculo direccin inet6 ::: 1/128 Alcance: Anfitrin Desactivacin Crear un archivo / etc/modprobe.d/ipv6 Aadir este dentro de la lnea: Instalar IPv6 / bin / true Configuracin de la red Zeroconf Requiere un agujero en el cortafuegos para permitir el acceso Deteccin la ruta | grep de enlace local local de enlace 255.255.0.0 * U 0 0 0 eth2 Desactivacin Editar el archivo / etc / sysconfig / network Aadir NOZEROCONF = yes A continuacin, retire el paquete avahi y sus dependencias Configuracin de la red Revisar demonios que escuchan Es probable que algunas cosas que son innecesarias Deteccin netstat-tanp | grep LISTEN Desactivacin de demonios que escuchan localizar el PID en el comando netstat cat / proc / <pid> / cmdline Si la ruta no est llena, cuando afecten o localizar a encontrar de utilidad rpm-qf completa de la ruta-de-daemon rpm-e paquete de Si difcil de eliminar debido a las dependencias: chkconfig <service> Off Configuracin de la red iptables Los ajustes deben ser bastante buenos Para ver las reglas: service iptables status Utilice una herramienta de interfaz grfica de usuario si no estn familiarizados con la sintaxis de regla de iptables Usar nmap desde otra mquina para ver eficacia Configuracin de la red tcp_wrappers Incluso si iptables est en el empleo, configure esto por si acaso Configure el / etc hosts.deny / a ALL: ALL Buscar mediante el uso de: egrep libwrap / usr / bin / * / usr / bin / * | sort Para cada programa encontrado, use su nombre bajo para poner derechos de acceso esperados (si hay alguno) esperan los derechos de acceso (si las hay) Ejemplo: smbd: 192.168.1.

Hardening Red Hat Enterprise Linux 5

Eliminacin DE demonio no utilizados Retire todos los demonios (y paquetes) no se utiliza Esto reduce la huella de ataque y mejora el rendimiento Los demonios de muchos escuchan en la red y podra ser accesible Viendo chkconfig-list Desactivacin rpm-qf / etc / rc.d / init.d / nombre rpm-e nombre-paquete O chkconfig <service> off Notas Agregar cpuspeed speedshifting de la CPU y irqbalance de mltiples ncleos de CPU. Desactive readahead, mcstransd, firstboot, (y NetworkManager para la mquinas sin conexin de red inalmbrica), ya que no son necesarios Sistema de Tiempo Mantenga la hora del sistema en sincrona Es posible que necesite para correlacionar el tiempo de los acontecimientos dispares travs de varias mquinas para determinar una cadena de acontecimientos Utilice NTP en cron job Crear un archivo que contiene el archivo / etc / cron.daily / ntpdate la despus de crontab: #!/ bin / sh / usr / sbin / ntpdate ntp-server donde ntp-servidor es el nombre o direccin IP del sitio del servidor NTP Configurar demonios restantes bind Utilice paquete chroot Utilizar las ACL Tenga en cuenta que el servidor DNS se utiliza para (interno / externo) y slo sirven para los DNS. No hagas tanto en una instancia de servidor. No permita las transferencias de zonas. No realice recursividad apache Eliminar todos los mdulos que no sean necesarios Utilice mod_security a los ataques de inyeccin de malezas fuera Establecer correctamente Linux SE Booleanos para mantener la funcionalidad y la proteccin Configurar demonios restantes Init Desactive el inicio interactivo editando el fichero / etc / sysconfig / init Asegrese PROMPT = no para desactivar Tambin aadir una contrasea para el modo de usuario nico. Edit / etc / inittab Agregue el siguiente ~ ~: S: wait :/ sbin / sulogin Configurar demonios restantes At & cron Slo permita que las races y las personas con necesidad verificada para realizar trabajos cron Configuracin de cron.allow y cron.deny Configuracin equivalentes si tiene 'at' instalado Configurar demonios restantes MySQL Si la base de datos se utiliza internamente para la mquina, hacer escuchar en localhost Cambiar las contraseas

Hardening Red Hat Enterprise Linux 5

Configurar demonios restantes sshd Activar slo protocolo SSH2 (esto es por defecto en RHEL5) Si multitarjeta, considere si necesita escuchar en todas las direcciones, o simplemente uno No permita que las conexiones de root Considere agregar permiso de grupo para las conexiones, la rueda de AllowGroups Configuracin de la red / etc / sysctl.conf ajustes No responder a las emisiones. Evita participar en un ataque Smurf net.ipv4.icmp_echo_ignore_broadcasts = 1 Habilitar la proteccin de los malos mensajes ICMP de error net.ipv4.icmp_ignore_bogus_error_responses = 1 Habilitar syncookies para la proteccin contra inundaciones SYN net.ipv4.tcp_syncookies = 1 Entrar de origen falsa, derrotado, y redirigir los paquetes net.ipv4.conf.all.log_martians = 1 net.ipv4.conf.default.log_martians = 1 No permitir los paquetes enrutados desde el origen net.ipv4.conf.all.accept_source_route = 0 net.ipv4.conf.default.accept_source_route = 0 Activar el filtrado inverso de paths net.ipv4.conf.all.rp_filter = 1 net.ipv4.conf.default.rp_filter = 1 No permitir que personas ajenas modifiquen las tablas de enrutamiento net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.default.accept_redirects = 0 net.ipv4.conf.all.secure_redirects = 0 net.ipv4.conf.default.secure_redirects = 0 No permitir el trfico entre las redes o de actuar como un router net.ipv4.ip_forward = 0 net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0

Preparacin e instalacin.
Si la mquina es una instalacin nueva, protegerlo de trfico de la red hostil, hasta que el sistema operativo est instalado y se endurece. Considere la posibilidad de utilizar el Asistente para configuracin de seguridad para ayudar a endurecer el host.

Service Packs y revisiones.

Instale los ltimos Service Pack y actualizaciones de Microsoft. Activar la notificacin automtica de la disponibilidad de los parches.

Hardening Windows Server 2008 R2.

Auditora y Directivas de cuenta.

Configurar la directiva de auditora, como se describe. Ajustar la longitud de contrasea mnima. Habilitar complejidad de la contrasea. Configurar las opciones de registro de eventos.

Configuracin de seguridad.
Desactivar annima traduccin SID / nombre. (Por defecto). No permitir enumeraciones annimas de cuentas SAM (por defecto) No permitir la enumeracin annima de cuentas y recursos compartidos SAM. Deshabilitar la cuenta de invitado. (Por defecto) Descifrar o firmar digitalmente datos de canal seguro (siempre). (Por defecto) Descifrar digitalmente datos de canal seguro (cuando sea posible). (Por defecto)

 Firmar digitalmente datos de canal seguro (cuando sea posible). (Por defecto) Coloque el mensaje de advertencia de la Universidad en el mensaje de texto para usuarios que intentan iniciar una sesin. Desactivar el envo de la contrasea encriptada para conectarse a servidores de terceros pequeas y medianas empresas.(Por defecto) annimos. (Por defecto) No permita que los permisos de Todos para aplicarse a usuarios annimos. (Por defecto) No permita que ningn canalizaciones con nombre para tener acceso de forma annima. No permita que ningn canalizaciones con nombre para tener acceso de forma annima. Asegrese de que ninguna accin se puede acceder de forma annima. Seleccione la opcin "clsica", como el intercambio y el modelo de seguridad para las cuentas locales. (Por defecto) No almacene valores hash de LAN Administrador Ajuste de LAN Manager nivel de autenticacin de NTLMv2

Proteccin de seguridad adicionalq

Hardening Windows Server 2008 R2.

Deshabilitar o desinstalar los servicios no utilizados. Deshabilitar o eliminar usuarios no utilizados. Configurar derechos de usuario sea lo ms segura posible. Configurar los permisos del registro.

Pasos adicionales
Ajuste la fecha / hora del sistema y configurarlo para sincronizar con los servidores de tiempo en el campus. Instalar y activar el software antivirus. Instalar y activar software anti-spyware. Configure el software antivirus con actualizacin diaria. Configurar el software anti-spyware para actualizar todos los das. Configuracin de un protector de pantalla para bloquear la pantalla de la consola de forma automtica si el ordenador est desatendido. Si el equipo no est protegido fsicamente contra el acceso no autorizado, establecer una contrasea de BIOS / firmware para evitar alteraciones en la configuracin de inicio del sistema. Configurar el orden de arranque del dispositivo para evitar que el arranque no autorizado de los medios de comunicacin alternativos. Systems proporcionara un almacenamiento seguro de la categora de los datos requeridos por las necesidades de la confidencialidad, integridad y disponibilidad. La seguridad puede ser proporcionada por medios tales como, pero no limitado a, el cifrado, controles de acceso, las auditoras del sistema de archivos, asegurar fsicamente los medios de almacenamiento, o cualquier combinacin de stos segn se considere oportuno. Instalar el software para comprobar la integridad de los archivos crticos del sistema operativo. Si se utiliza RDP, establecer la conexin RDP de alto nivel de cifrado. Para hacer Si la mquina es una instalacin nueva, protegerlo de trfico de la red hostil, hasta que el sistema operativo est instalado y se endurece. Los parches y el software adicional Aplique los ltimos parches del sistema operativo. Activar la notificacin automtica de nuevos parches. Minimizar los servicios del sistema.

Hardening SOLARIS 10.

Ajuste del ncleo Activar la proteccin de pila. Activar la proteccin de pila. Inicio de sesi Encienda el trazado de inetd. Captura de los mensajes enviados a syslog AUTH. Crear / var / adm / loginlog. Registrar todos los intentos de acceso fallidos. Activar el registro de cron. Habilitar el sistema de contabilidad. Archivos o Permisos de directorios o de acceso Compruebe passwd, shadow, y permisos de grupo de archivos.w Acceso al sistema, la autenticacin y autorizacin Desactivar la sesin: indicaciones que aparecen en los puertos serie. Desactivar la sesin: indicaciones que aparecen en los puertos serie. Crear / etc / ftpd / ftpusers. Configurar TCP Wrappers. Si los mtodos adicionales de restringir las conexiones son necesarias, ponerlas en prctica. Restringir las conexiones de root a la consola del sistema. En sistemas basados en SPARC Solaris, establezca el modo de seguridad para evitar la EEPROM autorizado el arranque desde los medios de comunicacin no convencionales. Configuracin de la consola se bloquee automticamente si se deja sin vigilancia durante un perodo prolongado de tiempo. Cuentas de usuario y el medio ambiente Compruebe que no hay cuentas con los campos de contrasea vaca. Establecer fuertes polticas de aplicacin de contrasea. Verifique que no haya UID 0 existan cuentas que no sea 'root' Instalar, configurar y usar 'sudo' en lugar de "su root". Pancartas de advertencia. Crear banderas de advertencia para los servicios de entrada estndar. Crear alerta de interfaz grfica de usuario basados en los inicios de sesin. Crear avisos para FTP daemon (si est en uso). Crear el encendido de advertencia. Systems proporcionar un almacenamiento seguro de la categora I-los datos requeridos por las necesidades de la confidencialidad, integridad y disponibilidad. La seguridad puede ser proporcionada por medios tales como, pero no limitado a, el cifrado, controles de acceso, las auditoras del sistema de archivos, asegurar fsicamente los medios de almacenamiento, o cualquier combinacin de stos segn se considere oportuno. Instalar el software para comprobar la integridad de los archivos crticos del sistema operativo. Instalar y activar el software antivirus. Configurar para actualizar la firma diaria en la carrera. Configurar sincronizacin de hora mediante NTP. Activar contabilidad de procesos en tiempo de arranque.

Hardening SOLARIS 10.