Cargando

Ir a contenido


 


Hardening seguridad de servidores y sistemas operativos

El Hardening es el fortalecimiento o endurecimiento de un sistema informático, es el proceso de asegurar un sistema mediante la reducción de vulnerabilidades.


Escrito por el sep 06 2015 01:27 seguridad vulnerabilidades hardening


La seguridad de un servidor es muy importante para proteger los datos de posibles intrusos. El administrador del sistema es responsable de la seguridad del servidor. Primero se puede decir que es importante la seguridad física de los sistemas.


El Hardening es el fortalecimiento o endurecimiento de un sistema, es el proceso de asegurar un sistema mediante la reducción de vulnerabilidades. Un sistema tiene mayor vulnerabilidad cuando más funciones o servicios brinda.

Algunos aspectos a tener en cuenta para evitar ataques normalmente incluye la eliminación de software innecesario, nombres de usuario innecesarios o inicios de sesión y la desactivación o eliminación de servicios innecesarios.

Existen varios métodos de Hardening en sistemas Unix y Linux. Esto puede implicar, entre otras medidas, cerrar puertos de red abiertos. En otros tutoriales se vio como detener servicios Aplicando Medidas de seguridad para Servidores VPS y Cómo configurar un servidor de seguridad para proteger su servidor Linux.

El establecimiento de sistemas de detección de intrusos, firewall y sistemas de prevención de intrusiones como Bastille Linux, Incrementar la seguridad Linux con Bastille, por ejemplo para desactivar características que no sean necesarios en los archivos de configuración o implementar otras tareas de protección.

Las instrucciones de este tutorial son para Linux CentOS / RHEL o distribución Linux basada en Ubuntu / Debian, que son las que mas se utilizan en servidores.

SSH protocolo de comunicaciones

Objetivo
Impedir el acceso al usuario root y crear un nuevo usuario administrador



Para ello vamos a una ventana de terminal y escribimos el siguiente comando
sudo gedit /etc/ssh/sshd_config
Luego buscamos la línea:
Port 22
y la cambiamos por otro numero esto cambiará el puerto SSH:
Port 4655
Y luego buscamos la linea y cambiamos el login root a no:
PermitRootLogin no
Guardamos y luego reiniciamos ssh con el siguiente comando:
sudo service ssh restart
Con esto estará realizado.

Defensas que debe tener todo servidor para prevenir ataques

Sistema de detección de intrusos


IDS o sistema de detección de intrusos es un software que se utiliza para detectar accesos no autorizados a un equipo dentro de una red. Estos accesos pueden ser ataques o usuarios sin permisos.
Algunos IDS conocidos para Linux son:

Tripwire
es una herramienta de seguridad e integridad de datos se utiliza para monitorizar y alertar sobre el cambio de archivos específicos a nivel de sistemas. Si algún archivo se modifica o se cambia, se enviará una alerta al administrador. Si los cambios son válidos, se pueden añadir o aceptar los cambios mediante la base de datos de Tripwire. Así no se detectara en otro escaneo.


Para instalarlo abrimos una ventana de terminal y escribimos los siguiente comandos:
sudo apt-get install tripwire
Para utilizarlo escribimos el siguiente código:
sudo tripwire –init
sudo tripwire --check --interactive
Una vez que termina el análisis, se generara un reporte con toda la información del sistema, si hay sectores vulnerables y cuales son los archivos:




Otros IDS que podemos probar son:
  • Snort
  • Lids
  • Snoby

Sistema de detección de intrusos en un Host


HIDS este tipo de software es lo que se denomina como Host intrusion detection system o Sistema de detección de intrusos en un Host. Funciona monitorizando y analizando el sistema tratando de detectar anomalías que podrían poner en riesgo la red o el sistema, lo que hace este software es verificar las actividades que se realizan en el equipo host.

Algunos HDIS conocidos son:

Tiger
Es una herramienta HIDS ya que realiza una auditoría de seguridad, así como varios controles de seguridad, comprueba contraseñas débiles, escanea el sistema para escuchar llamados de backdoor que son troyanos que abren un puerto en el sistema y permite entrar a otros atacantes. La salida puede ser formateado en un documento HTML, que puede entonces abrir con cualquier navegador.





Para instalarlo vamos a una ventana de terminal y ejecutamos el siguiente comando
sudo apt-get install tiger
Para hacer un chequeo completo del sistema escribimos el siguiente comando:
sudo tiger -H
Esto generara un reporte con los cambios, el reporte lo guardará en la carpeta:

/var/log/tiger/security.report.miusuario.150905-17:45.html



Sistema de detección de intrusos en una Red


NIDS es un software sistema de detección de intrusos en una red. Monitoriza una red tratando de detectar anomalía, tales como ataques de DDOS o denegación de servicio, escaneo de puertos tanto internos como externos o intentos de acceder en un ordenador sin autorización, esta detección la realiza analizando el tráfico en la red entrante y saliente en tiempo real.

La metodología utilizada por un software NIDS es analizar todos los paquetes, buscando en ellos posibles actividades o códigos conocidos y sospechosos. Los NIDS analizan el tráfico entrante, y también el saliente en un red y también el tráfico dentro de la red, ya que algunos ataques podrían ser iniciados desde dentro de la red con certificaciones autorizadas por el propio sistema protegido. El análisis de un NIDS no consume muchos recursos de red a pesar de que se ejecuta en tiempo real

Un NIDS muy utilizados es Snort Snort

Snort
Snort es un rastreador o sniffer de paquetes y que analiza los paquetes de una red que entran y salen. Poseen bases de datos con actividades conocidas e implementa un motor de detección de ataques y escaneado de puertos que permite registrar, alertar cualquier anomalía que se encuentre definida en la base de datos o registrar una nueva. Así no solo previene intrusiones, sino que además verifica los paquetes que se envían y reciben por la red, asi podremos prevenir, intentos de ataques escaneo de protocolos, etc. Todo esto en tiempo real.


Vamos a instalar instalar Snort en Linux, para utilizar este NIDS:
sudo apt-get update
sudo apt-get install snort
Al comenzar la instalación nos solicitara indicar cual es el rango de ip en la red.




Recordemos que la máscara de subred nos indicará la cantidad de PC o IP disponibles en esa red, para tener una referencia tenemos la siguiente tabla que muestra cantidad de pc o ip según la máscara de subred que utilicemos:



Para comprobar que se haya instalado correctamente, desde la ventana de terminal escribimos el siguiente comando:
snort --version
A continuación deberemos configurar Snort, para realizar esta tarea desde una ventana de terminal escribiremos el siguiente comando:
sudo dpkg reconfigure snort
En este caso vemos que tengo una red ethernet 192.168.0.1 y una red wlan 192.168.0.0, para esta configuración mi red interna es la ethernet el router y la ip wlan es el cablemodem.
Por lo tanto como configuración utilizaremos etho0. Configuramos algunos datos como numero de alertas, correo electrónico donde enviar alertas, comprobar todos los paquetes de la red o solo los de la interfaz seleccionada, etc.

Al finalizar la configuración indicamos que snort se inicie como un servicio cada vez que arranque el ordenador o servidor, esto lo podemos hacer mediante el siguiente comando:
sudo /etc/init.d/snort restart
Para comprobar que esta funcionando correctamente desde el inicio utilizamos el siguiente comandos
sudo /etc/init.d/snort status

¿Te ha gustado y ayudado este Tutorial?
Puedes premiar al autor pulsando este botón para darle un punto positivo
  • -
  • 0
10
VOTA
5
100%
4
0%
3
0%
2
0%
1
0%

  Información

  •   Publicado sep 06 2015 01:27
  •   Actualizado sep 07 2015 08:17
  •   Visitas 5.1K
  •   Nivel
    Profesional



Tutoriales Relacionados


Sin comentarios, sé el primero!

No esperes más y entra en Solvetic
Deja tus comentarios y aprovecha las ventajas de la cuenta de usuario ¡Únete!
Demuestra que eres experto!
  ESCRIBIR TUTORIAL
Suscribirse