Download
slide1 n.
Skip this Video
Loading SlideShow in 5 Seconds..
Fortificación de equipos PowerPoint Presentation
Download Presentation
Fortificación de equipos

Fortificación de equipos

167 Views Download Presentation
Download Presentation

Fortificación de equipos

- - - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

  1. Fortificación de equipos

  2. Elementos de la seguridad

  3. Análisis de riesgos Amenaza Recurso Vulnerabilidad

  4. ¡Alarma! Métodos de aseguramiento Técnicas de mitigación ggrr!

  5. Agenda • Principios básicos • Defensa en profundidad • Mínimo punto de exposición • Menor privilegio posible • Proceso de fortificación • Active Directory • Controlador de dominio • Línea base • Servidores y clientes • Herramientas • SCE • Security Configuration Wizard

  6. Principios a aplicar • Defensa en profundidad • Mínimo punto de exposición • Menor privilegio

  7. Defensas de Perímetro Defensas de Red Defensas de Host Defensas de Aplicación Datos y Recursos Estrategia de Defensa en Profundidad • Cada capa establece sus defensas: • Datos y Recursos: ACLs, Cifrado • Defensas de Aplicación: Validación de las entradas, Antivirus • Defensas de Host: Asegurar el SO, aplicar revisiones y SP, Auditoria • Defensas de red: Segmentación, VLAN ACLs, IPSec • Defensas de perímetro: Filrado de paquetes, IDS, Cuarentena en VPN

  8. Defensas de Perímetro Defensas de Red Defensas de Host Asume fallo de la capa anterior Defensas de Aplicación Datos y Recursos Estrategia de Defensa en Profundidad Directivas,procedimientos, formación yconcienciación Seguridadfísica • Cada capa asume que la capa anterior ha fallado: • Medidas redundantes • Seguridad Física • Todo bajo la dirección de la política de seguridad de la empresa • Basada en capas: • Aumentalaposibilidaddequesedetectenlosintrusos • Disminuyelaoportunidaddequelosintrusoslogrensupropósito

  9. Mínimo punto de exposición • Reducir la superficie de ataque • Instalar sólo los servicios necesarios • Exponer sólo los puertos que ofrezcan servicios • Simplificar la infraestructura • Separación de roles: acumular servicios en un mismo servidor aumenta su superficie de ataque

  10. Menor privilegio posible • Asignar sólo los “mínimos” permisos necesarios • Separación de roles: desarrollo, administración, operación, ... • No acumular privilegios • La mayoría de los ataques son internos • Protege de errores “humanos” • Utilizar “Ejecutar como ...”

  11. Menor privilegio posibleCuentas de usuarios • Los usuarios DEBEN tener sólo los permisos necesarios para realizar sus tareas habituales • No suele ser necesario “Control total del equipo” • Además facilita el soporte • Es importante, revisar las aplicaciones para que no requieran permisos administrativos

  12. Menor privilegio posibleCuentas de administración • Incluso los administradores no necesitan sus privilegios durante todas sus operaciones • Utilización de dos cuentas: • Usuario Normal para tareas cotidianas (correo electrónico, procesamiento de textos, etc.) • Una cuenta distinta con permisos de administración (auditar el uso de esta cuenta) • Formar a los administradores para que usen contraseñas complejas. • Más de 15 caracteres. • Las frases son fáciles de recordar (en Windows 2000 y 2003 es posible utilizar espacios) • Smart Cards • Uso de grupos locales en servidores individuales, para limitar quién puede administrarlos.

  13. Menor privilegio posibleCuentas de servicio • Limitar el posible daño en caso de que la cuenta estuviera expuesta a ataques. • Compruebe si se puede usar una cuenta local en lugar de un dominio. • Sin embargo, no funcionará para cuentas que deban comunicarse con otros servidores. • Por ejemplo, los agentes de SQL suelen necesitar conectividad con otros servidores. • Limite los permisos para la cuenta. • Uso de contraseñas complejas • Auditar el uso de estas cuentas

  14. Agenda • Principios básicos • Defensa en profundidad • Mínimo punto de exposición • Menor privilegio posible • Proceso de fortificación • Active Directory • Controlador de dominio • Línea base • Servidores y clientes • Herramientas • SCE • Security Configuration Wizard

  15. Proceso de fortificaciónReglas generales • Desplegar sistemas protegidos, no ejecutar procesos de fortificación una vez que los sistemas se han desplegado • Es muy difícil, si no se conocen todos los componentes • Mantener el proceso lo más simple posible • Facilitar el despliegue (imágenes, scripts, ...) • Facilitar el mantenimiento (gestión de actualizaciones, herramientas) • Eliminar los elementos innecesarios • Utilizar gestión de cambios (incluyendo imágenes) • Monitorizar el entorno • Formar a los usuarios • Desarrolladores • Usuarios

  16. Metodología de fortificaciónRed interna • Asegurar el entorno de Active Directory • Crear un diseño teniendo en cuenta las implicaciones de seguridad • Revisar el diseño actual • Crear una Línea Base de Seguridad • Para servidores y puestos clientes • “Mínimo Común” de la seguridad • Afinar esa Base para cada uno de los roles específicos

  17. Servidoresdeinfraestructuras Servidoresde archivos Línea Base Configuracióndeseguridadincrementalbasadaenroles ServidoresIIS Active Directory Procedimientosderefuerzodelaseguridad ServidoresRADIUS Autoridades de Certificación Hostsbastiones Refuerzo de SeguridadProceso

  18. Bosque Un bosque funciona como límite de seguridad en Active Directory Dominio Facilita la gestión Unidad organizativa Contenedor de objetos Directivas de grupo Herramienta clave para implementar y administrar la seguridad de una red Active DirectoryComponentes

  19. Active DirectoryConsideraciones de diseño • Crear un Plan de Seguridad de Active Directory • Establecer claramente los límites de seguridad y administrativos • Seguridad basada en la infraestructura de dominios • Separación de administradores • Gestionar cuidadosamente grupos con elevados privilegios • Administradores de Empresa (Enterprise Admins) • Administradores de Esquema (Schema Admins) • Delegar tareas administrativas • Crear una Estructura de Unidades Organizativas • Para delegación de administración • Para la aplicación de directivas de grupo • Si ya está desplegado AD, revisar el diseño actual para conocer mejor las posibles vulnerabilidades

  20. Analizar el entorno Centro de datos de intranet Sucursales Centro de datos de extranet Realizar un análisis de las amenazas Identificar las amenazas para Active Directory Identificar los tipos de amenazas Identificar el origen de las amenazas Determinar medidas de seguridad para las amenazas Establecer planes de contingencia Diseño de Active DirectoryPlan de Seguridad

  21. Administración Active DirectoryRecomendaciones generales • Delegar los permisos mínimos necesarios para cada rol • Utilizar doble cuenta para usuarios administradores • Cuenta de administración (no genérica) • Cuenta de usuario: acceso al correo, documentar, navegar • Utilizar autenticación fuerte para cuentas de administración • Autenticación fuerte (dos factores): • Smart Card y PIN

  22. Diseño de Active DirectoryBosques • Separar en otro bosque los servidores de Extranet • Crear otro bosque para aislar administradores de servicios • Bosques y dominios • Bosque = Límite real de seguridad • Dominio = Límite de gestión para administradores con buen comportamiento

  23. Directivadedominio Diseñodedominios Dominio Controladoresdedominio Servidoresintegrantes Directivadelíneadebasedeservidorintegrante Directivadecontroladoresdedominio Administradordeoperaciones Directivadeservidoresdeimpresión Servidoresdeimpresión Administradordeoperaciones Directivadeservidoresdearchivos Servidoresdearchivos AdministradordeserviciosWeb DirectivadeservidoresIIS ServidoresWeb Diseño de Active DirectoryJerarquía de Unidades Organizativas • Una jerarquía de unidades organizativas basada en funciones de servidor: • Simplifica la administraciónde la seguridad • Aplica la configuración de directivas de seguridad a los servidores y a otros objetos en cada unidad organizativa

  24. Directiva de Grupo de DominioFortalecimiento de configuración • Revisar y modificar la Directiva por defecto • Es posible que no se adecue a las políticas de la empresa • Para modificarla existen dos estrategias: • Modificar la Directiva por defecto • Crear una Directiva Incremental • Establecer elementos comunes a todo el dominio • Directivas de cuentas • Bloqueo y Desbloqueo de cuentas

  25. Directiva de Grupo de DominioDirectiva de cuentas Políticasde bloqueo de cuentas Lasdirectivasdecuentasseaplicanenelniveldedominioyafectanatodaslascuentasdedominio Políticas de Contraseñas Dominio Políticas Kerberos • Políticas de cuentas para los usuarios del dominio • Caducidad y Complejidad de Contraseñas • Bloqueo y Desbloqueo de cuentas

  26. Controladores de Dominio • Son los servidores más importantes de la infraestructura • Poseen la información de todos los objetos del Active Directory • La seguridad física es importante • Ubicados en salas con control de acceso • Las copias de seguridad poseen también información crítica • Se deben almacenar en entornos con control de acceso • Proceso de Instalación: • En ubicaciones controladas • Bajo la supervisión de administradores • Utilizando procedimientos automatizados

  27. Controladores de dominioPlantilla de seguridad • La mayoría de las directivas coincidirán con la Línea Base de Seguridad • Mayores restricciones en los derechos de usuarios • Inicio de sesión interactiva: Sólo administradores • Inicio de sesión por TS: Sólo administradores • Restauración: Sólo administradores • Cambiar la hora del sistema: Sólo administradores • Configuración servicios específicos: • DFS • DNS • NTFRS • KDC

  28. Controladores de DominioMedidas de Seguridad Adicionales • Reubicar los directorios de la base de datos y logs de Active Directory • Incrementar el tamaño de los registros de eventos • Asegurar el servicio DNS • Utilizar actualizaciones dinámicas seguras • Limitar las transferencias de zonas • Bloquear puertos con IPSec

  29. Controladores de DominioMedidas de Seguridad Adicionales • SYSKEY • Protege la SAM de ataques offline • Como contrapartida incrementa los costes operacionales

  30. Diseño de Active DirectoryDirectivas de Grupo Dominio • Para asegurar servidores: • Línea base común • Medidas adicionales para cada rol Servidores Directivadelíneadebasedeservidorintegrante Rol 1 Directivaincremental para cada rol Rol 2 Rol 3

  31. Diseño de Active DirectoryDirectivas de Grupo Dominio • Para asegurar puestos: • Separar usuarios y equipos • Aplicar las políticas adecuadas a cada OU Departamento Departamento N Usuarios Windows XP OU Desktop OU Laptop OU

  32. Servidoresdeinfraestructuras Servidoresde archivos Línea Base Configuracióndeseguridadincrementalbasadaenroles ServidoresIIS Active Directory Procedimientosderefuerzodelaseguridad ServidoresRADIUS Autoridades de Certificación Hostsbastiones Refuerzo de SeguridadProceso

  33. Establecer línea base8 Recomendaciones básicas • Seleccionar aplicaciones de línea base • En toda la empresa: • Aplicaciones en todos los escritorios • Aplicaciones en todos los servidores • Revisar la seguridad de estas aplicaciones • Gestionar las actualizaciones de seguridad y los Service Pack: • Tanto de las aplicaciones como del sistema operativo

  34. Establecer línea base8 Recomendaciones básicas • En la línea base del sistema operativo, seleccionar los componentes a incluir • Los “mínimos” componentes necesarios • No instalar aquellos componentes que no se usen en todos los entornos • Mínimo punto de exposición

  35. Establecer línea base8 Recomendaciones básicas • Seleccionar las funciones a activar • Tecnologías disponibles (por ejemplo, Windows Update) • Infraestructuras comunes: PKI

  36. Establecer línea base8 Recomendaciones básicas • Crear plantillas de seguridad • Usando las guías de seguridad como base • Windows Server 2003 Security Guide • Windows XP Security Guide • Incluir valores personalizados • Extender SCE (sceregvl.inf) • Comprobar los problemas conocidos

  37. Microsoft Solutions for SecurityGuías de referencia • Guías para: • Windows Server 2003 • Windows XP Service Pack 2 • Wireless LAN Security Guide • Estas guías son: • Guías probadas en entornos reales • Diseñadas para preocupaciones reales de seguridad • Apropiadas para situaciones reales

  38. Windows Server 2003 Security GuidePlantillas de seguridad • Plantillas para tres escenarios: • “Legacy templates”: predomina la compatibilidad sobre la seguridad • “Enterprise templates”: apropiadas para la mayoría de los entornos • “High-security”: mayor restricción de seguridad, sin compatibilidad

  39. Windows XP Security GuidePlantillas de seguridad • Plantillas para tres escenarios: • “Enterprise client”: clientes de Active Directory con configuraciones de seguridad apropiadas para la mayoría de empresas • “High-security client”: funcionalidad reducida, mayor restricción de seguridad • “Stand alone client”: no pertencen a Active Directory, puestos aislados o dominios NT 4.0

  40. Línea Base de SeguridadRecomendaciones • No aplicar directamente las plantillas: • Revisar detalladamente todas las opciones • Probar los cambios en entorno de laboratorio antes de implementarlos en producción

  41. Línea Base de SeguridadPosibles cambios • Para evitar operaciones remotas de los administradores de servicio • Utilizar la política “Denegar inicio de sesión desde red” • Cuidado con las opciones del registro de sucesos cuando se llena • Denegación de servicio si se llena el registro de seguridad • Compatibilidad con sistemas anteriores, hace rebajar el nivel de seguridad: • “Firmar digitalmente las comunicaciones (siempre)” (SMB) • “No permitir enumeraciones anónimas de cuentas” • “No almacenar el valor de hash de Lan Manager” • “Nivel de Autenticación de Lan Manager”

  42. Línea Base de SeguridadOtras opciones • Asegurar la pila TCP/IP • Prevenir ataques DoS • Deshabilitar la generación automática de nombres 8.3 en NTFS • Deshabilitar la opción de ejecución automática de CD-ROMs (Autorun) • Orden de búsqueda de DLLs

  43. Establecer línea base8 Recomendaciones básicas • Añadir bloqueos adicionales • Información extraída de los grupos de productos, las alertas de seguridad, los expertos de seguridad, las mejores prácticas, etc. • Políticas de grupo más allá de las plantillas de seguridad (Internet Explorer, Outlook, etc.) • Servicios (varían según las funciones) • Listas de control de acceso (ACL) • Funciones de servidor (IIS, DC, etc.) • Políticas IPSec

  44. Establecer línea base8 Recomendaciones básicas • Automatizar todo el proceso • Incluso aunque se usen imágenes para el despliegue • Las secuencias de comandos son controlables, las respuestas de personas menos. Ejemplos: • Archivos de respuestas para el Sistema Operativo • Instalaciones silenciosas y no interactivas • Kit de administración de Internet Explorer • Asistente para la instalación personalizada de Office • Ficheros INF de plantillas de seguridad • Scripts en general: Windows Scripting Host (WSH) y Windows Management Instrumentation (WMI) • Proceso autodocumentado

  45. Establecer línea base8 Recomendaciones básicas • Verificar el funcionamiento como usuario Normal (estaciones de trabajo) • La inmensa mayoría de los errores en aplicaciones suceden cuando se inicia sesión como usuario Normal. • Se deben resolver las incompatibilidades antes de la distribución.

  46. Establecer línea base8 Recomendaciones básicas • Controlar el acceso de las cuentas de Administrador y Servicio • Siguiendo del principio del menor privilegio

  47. Servidoresdeinfraestructuras Servidoresde archivos Línea Base Configuracióndeseguridadincrementalbasadaenroles ServidoresIIS Active Directory Procedimientosderefuerzodelaseguridad ServidoresRADIUS Autoridades de Certificación Hostsbastiones Refuerzo de SeguridadProceso

  48. ServidoresAseguramiento de roles específicos • Se partirá de la configuración de línea base • Se utilizará una plantilla de seguridad incremental específica para el rol • Modificando los servicios a usar • Revisando los permisos • Se configurarán manualmentelasopcionesadicionales • Separación de datos y aplicaciones • Dependientes de las aplicaciones del rol • Incluyendo seguridad de las aplicaciones