Melhores Práticas de Hardening

Mapear ameaças, mitigar riscos e adotar ações corretivas.

Para proteger suas infraestruturas, os operadores das redes devem tomar medidas para analisar suas vulnerabilidades, realizar um mapeamento das ameaças, mitigar ou minimizar os riscos e executar atividades corretivas.

O principal objetivo é aprimorar a infraestrutura para enfrentar tentativas de ataques. Esse processo é chamado de hardening.

O hardening envolve a autenticação do usuário, sua autorização de acesso, manutenção de registros com vistas à auditorias e técnicas de acesso à infraestrutura. Além destas ações, também envolve a manutenção de registros das operações, características de sistema, como por exemplo, manutenção de softwares atualizados e permissão de que fiquem ativos somente os recursos efetivamente utilizados e requisitos de configuração como manutenção de backups por exemplo. Acesse as ações específicas para a solução dos problemas na seção Veja a seguir.

Autenticação

Autenticação é o processo que busca verificar a identidade do usuário no momento em que requisita o acesso. A ISO27000/2014 define Autenticação como a garantia de que uma característica reivindicada de uma entidade está correta.

Procedimentos básicos de autenticação de usuários envolvem os seguintes requisitos:

  • Deve ser criado um usuário para cada operador ativo da rede, desativando contas antigas.
  • Uma única conta padrão de administração não deve ser utilizada por usuários diferentes: o acesso padrão deve ser utilizado somente para backup e emergências.
  • As senhas de acesso devem ser fortes: o CERT.br disponibiliza um fascículo com recomendações sobre o assunto.
  • As senhas não devem ser armazenadas em texto puro: use uma função hash (PBKDF2, Bcrypt, Scrypt e Argon2).

Um procedimento avançado desejável, aplicável de acordo com a disponibilidade, é a utilização de senhas com verificação em duas etapas ou duplo fator, com duas escolhas entre: Algo que o usuário sabe!, Algo que o usuário é! e Algo que o usuário possui!. O CERT.br disponibiliza um fascículo específico com essas recomendações.

Autorização

A autorização tem a função de diferenciar os privilégios atribuídos aos usuários que tiveram autorização para acessar os sistemas.

São procedimentos básicos necessários:

  • Cada usuário deve ter permissão para acessar o equipamento de acordo com o seu trabalho. A senha de administrador não deve ser fornecida a todos os usuários, pois podem haver agentes maliciosos ou sem a formação necessária para lidar com esses recursos internamente.
  • Classificar o usuário em um grupo de privilégio, funcionalidade que é permitida em vários sistemas, como: apenas visualização de configurações, alteração de determinadas configurações e administrador com acesso pleno.


Auditoria

O procedimento de auditoria é o acesso às informações relacionadas à utilização de recursos da infraestrutura pelos usuários.

Como procedimentos básicos, são necessários:

  • Manter o registro de cada usuários com suas respectivas permissões.
  • Registrar as ações dos usuários nos sistemas.
  • Classificar os registros com nível de criticidade: Informativo, Aviso e Crítico.
  • Classificar os registros em tipos: Documentos, Registros (Logs) e Backup de configuração.
  • Os registros devem ter data e hora corretas.

Acesso

O acesso aos equipamentos da rede deve ser feito de forma segura seguindo os seguintes procedimentos básicos:

  • Não utilize protocolos inseguros, como Telnet, FTP, HTTP, MAC-Telnet ou Winbox, desative-os se não estiverem operando. Se esse for o único meio de acesso à máquina, restrinja o alcance para somente ser acessada pela interface de gerência, uma rede separada e protegida.
  • Utilize preferencialmente protocolos com suporte a mensagens criptografadas: SSH, HTTPS, SFTP ou Winbox no secure mode, na última versão estável disponível. Para o SSH, utilize a versão 2 com strong crypto.
  • Utilize uma mensagem de login como: “Roteador pertencente a empresa X, acessos não autorizados serão monitorados, investigados e entregues às autoridades responsáveis”. Existem governos que exigem essas mensagens para o âmbito legal.
  • Mude a porta padrão do serviço. Essa medida é eficaz contra um ataque simples que faz varreduras por portas padrão.
  • Armazene os registros sobre as ações realizadas na rede para finalidade de auditoria. Esses registros ajudam a identificar comandos indevidos na rede.
  • Armazene o registro de tentativas de acesso. Essa medida ajuda a identificar ataques de força bruta, de negação de serviço e de tentativa de roubo de informações.
  • Crie políticas de mitigação de ataques com filtros e rotas blackhole.
  • Utilize a hora legal brasileira, sincronizando a rede com o NTP.br.
  • Não permita acesso por todas interfaces dos equipamentos.
  • Escolha uma interface de loopback para os seus serviços e faça essa interface ser parte da sua rede de gerência. Essas interfaces são mais estáveis, não sofrem com variações no link e caso uma interface física fique indisponível, os protocolos de roteamento procuram um novo caminho.
  • Force o logout depois de um tempo de inatividade. Isso evita que alguém use sua máquina em sua ausência e que um atacante monitore o tempo de inatividade para tomar controle da máquina.
  • Force o logout depois de desconectar o cabo. Isso evita que alguém reconecte o cabo e use o seu login.

Como uma ação avançada desejável, habilite a função Port Knocking nos equipamentos de acesso à rede.

Port Knocking é um método para abrir portas externamente em um firewall, gerando tentativas de conexão em portas fechadas em uma sequência pré-estabelecida. Uma vez que a sequência correta é reconhecida, as regras do firewall são alteradas dinamicamente para permitir que a máquina que enviou as tentativas de conexão seja conectada à porta específica.

Nenhuma porta aparecerá aberta aos ataques de scan, diminuindo a superfície de ataques.


Registros

Todos os registros (logs) obtidos da operação e configuração da rede devem seguir os seguintes procedimentos básicos:

  • Configure os registros com diferentes níveis de criticidade.
  • Evite gerenciar logs dentro dos roteadores, pois quanto mais funções o roteador tiver que executar, menos processamento será utilizado para rotear pacotes.
  • Envie os logs de maneira segura para uma outra máquina. A segurança é importante, pois algum agente malicioso pode interceptá-los.
  • Guarde os logs de maneira segura, eles são necessários para uma auditoria e podem ajudar em ações na Justiça.
  • Data e horário dos registros devem estar sincronizados com o NTP.br.

Sistema

Como requisitos de sistema, é recomendado basicamente:

  • Desativar todas as interfaces não utilizadas, ou seja, interfaces que não possuem cabos conectados.
  • Desativar todos os serviços não utilizados, inseguros e que podem ser utilizados para ataques de amplificação, como testadores de banda (quando não estiverem em uso), DNS recursivo e Servidor NTP.
  • Remover ou desativar os pacotes de funções extras não utilizados, como por exemplo pacote wireless do dispositivo.
  • Desabilitar os protocolos de descoberta de vizinhança, como CDP, MNDP e LLDP, que facilitam a descoberta do tipo do seu roteador e inunda a rede com mensagens desnecessárias. Tome cuidado com o IPv6, já que a descoberta de vizinhança é essencial nessa versão do protocolo IP: sem ela, nada funciona.
  • Manter o sistema sempre atualizado na versão mais recente e estável.
  • Aplicar todos os patches de segurança.
  • Procurar testar as atualizações, antes de aplicá-las em produção, num ambiente controlado.

Configurações

Como requisitos de configurações, é recomendado basicamente:

  • Manter sempre um backup atualizado das configurações atuais.
  • Enviar o backup para uma outra máquina de maneira segura, utilizando e-mail criptografado, SCP ou SFTP.
  • Guardar o backup numa máquina segura, pois as informações operacionais da empresa estão nessa máquina e hashes de senhas podem ser decifrados.
  • Manter um script de hardening de máquinas da rede, de forma que você saiba as políticas mínimas de segurança que precisam ser aplicadas ao comprar uma nova máquina.
  • Manter o script de hardening atualizado: cada nova política precisa ser agregada ao script.

Parceiro
Apoio inicial
Realização
  • O conteúdo publicado no site NIC.br está licenciado com a Licença Creative Commons - Atribuição-CompartilhaIgual 4.0 Internacional a menos que condições e/ou restrições adicionais específicas estejam claramente explícitas na página correspondente.
  • Núcleo de Informação e Coordenação do Ponto BR (NIC.br) CNPJ 05.506.560/0001-36
arrow_upward