blog

Hardering: Fortificación de Servidores

Ciberseguridad y Cifra

_ Daniel García

El principal objetivo de este artículo es ofrecer una visión de alto nivel sobre el proceso de fortificación de un servidor y no ser una guía paso-a-paso de cómo llevarlo a cabo, ya que el procedimiento se debería adaptar a cada caso particular teniendo en cuenta la tecnología que se utilice, la arquitectura de red, el sistema operativo, la finalidad de la aplicación o aplicaciones alojadas en el servidor y sus requerimientos tanto técnicos como de negocio, etc.

hardering ciberseguridad

De manera general, estos son los tres principios básicos que ha de tener cualquier fortificación independientemente del producto y/o la plataforma:

  1. Principio de Defensa en Profundidad: Para que un atacante pueda acceder a los datos o la información, antes tiene que vulnerar varios niveles de seguridad, los cuales son más duros a medida que se va profundizando en el sistema. principio defensa ciberseguridad
  2. Principio de Mínima superficie de Exposición: Esto es, intentar exponer el mínimo de servicios posibles. De esta forma, un atacante tendría menos probabilidades de encontrar una manera de explotar vulnerabilidades y comprometer el sistema. La superficie de ataque puede ser a través de la aplicación, de la red o de los empleados. Tres factores que hay que tener en cuenta a la hora de evaluar esta superficie.
  3. Principio de Mínimo Privilegio: Este principio se basa en aplicar una capa de abstracción sobre cada proceso, usuario o aplicación para que únicamente acceda a la información y recursos estrictamente necesarios para su legítimo propósito

 

El primer paso es fortificar la instalación, llevando a cabo una instalación mínima, básica, y posteriormente instalar los componentes o módulos que sean necesarios. Antes de nada, conviene planear cómo se hará el particionado y analizar las necesidades de la memoria de intercambio.En este punto se ha de incluir también  la seguridad física y los controles de acceso. Las acciones a llevar a cabo serían proteger la BIOS/UEFI con contraseña, deshabilitar periféricos, utilizar fuentes de alimentación redundantes, RAID y controlar el acceso físico al equipo.

Una vez instalado es importante tener el sistema siempre lo más actualizado posible.

Dar la menor información es otro punto muy importante, para ello conviene modificar el banner tanto del sistema como de los servicios y establecer políticas de uso de la información y del sistema.Siguiendo el principio de Mínima exposición, se han de deshabilitar los protocolos y servicios que no se utilicen, así como restringir el acceso a los puertos a direcciones concretas, si es posible. Deshabilitar IPv6 si no se utiliza estaría incluido en este paso.

En lo referente al control de acceso, algunas medidas son restringir el acceso como root/administrador a los terminales, forzar el logout de los usuarios, crear un grupo de usuarios con permisos de administrador y limitar su uso, establecer una política de contraseñas y crear usuarios sin shell con mínimos privilegios.

Es recomendable establecer una política de gestión de registros. La configuración de los registros de acceso y los eventos que se producen en un servidor Web son de especial importancia, pues pueden ayudar a detectar preventivamente un ataque al sistema, una debilidad que está siendo explotada o simplemente un fallo en la configuración o en el sistema.

Configurar un servidor NTP para sincronizar la fecha y la hora siempre es una buena acción a realizar.

Daniel García

Descubre más

SGoSat

Familia de terminales SATCOM On The Move (SOTM) para instalación vehicular y conexión estable en movilidad

SGoSat es una familia de terminales SOTM (Satellite Comms On The Move) de alta tecnología que se instalan en un vehículo, brindando la capacidad de apuntar y mantener una conexión estable con el satélite cuando el vehículo está en movimiento en cualquier tipo de condiciones.

La familia SGoSat está compuesta por terminales versátiles, que pueden instalarse en cualquier tipo de plataforma: trenes y buses, vehículos militares y / o gubernamentales, aeronaves, barcos, etc. Al haber sido diseñados originariamente para el sector militar, los terminales SGoSat son extremadamente fiables y robustos, ya que integran componentes de alto rendimiento que cumplen con las normativas medioambientales y EMI / EMC más exigentes. El producto utiliza antenas de bajo perfil y alta eficiencia, así como una unidad de posicionador y seguimiento de alto rendimiento, que permiten la operación del terminal en cualquier parte del mundo.

Con el fin de satisfacer las diversas necesidades de sus clientes, INSTER ha desarrollado terminales de banda única y terminales de doble banda en las frecuencias X, Ka y Ku.

La familia de terminales SGoSat también se puede configurar con una variada gama de radomos (incluidas opciones balísticas), adaptándose a los requisitos del cliente.