Logo do BCP Logo NIC.Br Logo CGI.Br

Melhores Práticas de Hardening

Mapear ameaças, mitigar riscos e adotar ações corretivas.

Para proteger suas infraestruturas, os operadores das redes devem tomar medidas para analisar suas vulnerabilidades, realizar um mapeamento das ameaças, mitigar ou minimizar os riscos e executar atividades corretivas.

O principal objetivo é aprimorar a infraestrutura para enfrentar tentativas de ataques. Esse processo é chamado de hardening.

O hardening envolve a autenticação do usuário, sua autorização de acesso, manutenção de registros com vistas à auditorias e técnicas de acesso à infraestrutura. Além destas ações, também envolve a manutenção de registros das operações, características de sistema, como por exemplo, manutenção de softwares atualizados e permissão de que fiquem ativos somente os recursos efetivamente utilizados e requisitos de configuração como manutenção de backups por exemplo. Acesse as ações específicas para a solução dos problemas na seção Veja a seguir.

Veja a seguir:

Autenticação

Autenticação é o processo que busca verificar a identidade do usuário no momento em que requisita o acesso. A ISO27000/2014 define Autenticação como a garantia de que uma característica reivindicada de uma entidade está correta.

Procedimentos básicos de autenticação de usuários envolvem os seguintes requisitos:

  • Deve ser criado um usuário para cada operador ativo da rede, desativando contas antigas.
  • Uma única conta padrão de administração não deve ser utilizada por usuários diferentes: o acesso padrão deve ser utilizado somente para backup e emergências.
  • As senhas de acesso devem ser fortes: o CERT.br disponibiliza um fascículo com recomendações sobre o assunto.
  • As senhas não devem ser armazenadas em texto puro: use uma função hash (PBKDF2, Bcrypt, Scrypt e Argon2).

Um procedimento avançado desejável, aplicável de acordo com a disponibilidade, é a utilização de senhas com verificação em duas etapas ou duplo fator, com duas escolhas entre: Algo que o usuário sabe!, Algo que o usuário é! e Algo que o usuário possui!. O CERT.br disponibiliza um fascículo específico com essas recomendações.

Autorização

A autorização tem a função de diferenciar os privilégios atribuídos aos usuários que tiveram autorização para acessar os sistemas.

São procedimentos básicos necessários:

  • Cada usuário deve ter permissão para acessar o equipamento de acordo com o seu trabalho. A senha de administrador não deve ser fornecida a todos os usuários, pois podem haver agentes maliciosos ou sem a formação necessária para lidar com esses recursos internamente.
  • Classificar o usuário em um grupo de privilégio, funcionalidade que é permitida em vários sistemas, como: apenas visualização de configurações, alteração de determinadas configurações e administrador com acesso pleno.


Auditoria

O procedimento de auditoria é o acesso às informações relacionadas à utilização de recursos da infraestrutura pelos usuários.

Como procedimentos básicos, são necessários:

  • Manter o registro de cada usuários com suas respectivas permissões.
  • Registrar as ações dos usuários nos sistemas.
  • Classificar os registros com nível de criticidade: Informativo, Aviso e Crítico.
  • Classificar os registros em tipos: Documentos, Registros (Logs) e Backup de configuração.
  • Os registros devem ter data e hora corretas.

Acesso

O acesso aos equipamentos da rede deve ser feito de forma segura seguindo os seguintes procedimentos básicos:

  • Não utilize protocolos inseguros, como Telnet, FTP, HTTP, MAC-Telnet ou Winbox, desative-os se não estiverem operando. Se esse for o único meio de acesso à máquina, restrinja o alcance para somente ser acessada pela interface de gerência, uma rede separada e protegida.
  • Utilize preferencialmente protocolos com suporte a mensagens criptografadas: SSH, HTTPS, SFTP ou Winbox no secure mode, na última versão estável disponível. Para o SSH, utilize a versão 2 com strong crypto.
  • Utilize uma mensagem de login como: “Roteador pertencente a empresa X, acessos não autorizados serão monitorados, investigados e entregues às autoridades responsáveis”. Existem governos que exigem essas mensagens para o âmbito legal.
  • Mude a porta padrão do serviço. Essa medida é eficaz contra um ataque simples que faz varreduras por portas padrão.
  • Armazene os registros sobre as ações realizadas na rede para finalidade de auditoria. Esses registros ajudam a identificar comandos indevidos na rede.
  • Armazene o registro de tentativas de acesso. Essa medida ajuda a identificar ataques de força bruta, de negação de serviço e de tentativa de roubo de informações.
  • Crie políticas de mitigação de ataques com filtros e rotas blackhole.
  • Utilize a hora legal brasileira, sincronizando a rede com o NTP.br.
  • Não permita acesso por todas interfaces dos equipamentos.
  • Escolha uma interface de loopback para os seus serviços e faça essa interface ser parte da sua rede de gerência. Essas interfaces são mais estáveis, não sofrem com variações no link e caso uma interface física fique indisponível, os protocolos de roteamento procuram um novo caminho.
  • Force o logout depois de um tempo de inatividade. Isso evita que alguém use sua máquina em sua ausência e que um atacante monitore o tempo de inatividade para tomar controle da máquina.
  • Force o logout depois de desconectar o cabo. Isso evita que alguém reconecte o cabo e use o seu login.

Como uma ação avançada desejável, habilite a função Port Knocking nos equipamentos de acesso à rede.

Port Knocking é um método para abrir portas externamente em um firewall, gerando tentativas de conexão em portas fechadas em uma sequência pré-estabelecida. Uma vez que a sequência correta é reconhecida, as regras do firewall são alteradas dinamicamente para permitir que a máquina que enviou as tentativas de conexão seja conectada à porta específica.

Nenhuma porta aparecerá aberta aos ataques de scan, diminuindo a superfície de ataques.


Registros

Todos os registros (logs) obtidos da operação e configuração da rede devem seguir os seguintes procedimentos básicos:

  • Configure os registros com diferentes níveis de criticidade.
  • Evite gerenciar logs dentro dos roteadores, pois quanto mais funções o roteador tiver que executar, menos processamento será utilizado para rotear pacotes.
  • Envie os logs de maneira segura para uma outra máquina. A segurança é importante, pois algum agente malicioso pode interceptá-los.
  • Guarde os logs de maneira segura, eles são necessários para uma auditoria e podem ajudar em ações na Justiça.
  • Data e horário dos registros devem estar sincronizados com o NTP.br.

Sistema

Como requisitos de sistema, é recomendado basicamente:

  • Desativar todas as interfaces não utilizadas, ou seja, interfaces que não possuem cabos conectados.
  • Desativar todos os serviços não utilizados, inseguros e que podem ser utilizados para ataques de amplificação, como testadores de banda (quando não estiverem em uso), DNS recursivo e Servidor NTP.
  • Remover ou desativar os pacotes de funções extras não utilizados, como por exemplo pacote wireless do dispositivo.
  • Desabilitar os protocolos de descoberta de vizinhança, como CDP, MNDP e LLDP, que facilitam a descoberta do tipo do seu roteador e inunda a rede com mensagens desnecessárias. Tome cuidado com o IPv6, já que a descoberta de vizinhança é essencial nessa versão do protocolo IP: sem ela, nada funciona.
  • Manter o sistema sempre atualizado na versão mais recente e estável.
  • Aplicar todos os patches de segurança.
  • Procurar testar as atualizações, antes de aplicá-las em produção, num ambiente controlado.

Configurações

Como requisitos de configurações, é recomendado basicamente:

  • Manter sempre um backup atualizado das configurações atuais.
  • Enviar o backup para uma outra máquina de maneira segura, utilizando e-mail criptografado, SCP ou SFTP.
  • Guardar o backup numa máquina segura, pois as informações operacionais da empresa estão nessa máquina e hashes de senhas podem ser decifrados.
  • Manter um script de hardening de máquinas da rede, de forma que você saiba as políticas mínimas de segurança que precisam ser aplicadas ao comprar uma nova máquina.
  • Manter o script de hardening atualizado: cada nova política precisa ser agregada ao script.

Parceiro
site isoc
Apoio inicial
apoio abranet
apoio abrint
apoio Conexis
Apoio
apoio internet Sul
apoio Rede Tele Sul
apoio Tel Comp
logo bcp
logo Internet Segura

Nossos Canais

Realização
Imagem do footer cgi.br
Imagem do footer nic.br
  • O conteúdo publicado no site NIC.br está licenciado com a Licença Creative Commons - Atribuição-CompartilhaIgual 4.0 Internacional a menos que condições e/ou restrições adicionais específicas estejam claramente explícitas na página correspondente.
  • Núcleo de Informação e Coordenação do Ponto BR (NIC.br) CNPJ 05.506.560/0001-36
arrow_upward