En el siguiente video tutorial veremos el paso a paso de la actualización del sistema, revisión de servicios en el sistema y modo de inicialización de estos, estado de la red (estado de puertos, programas y servicios, etc.), instalación y configuración del servicio SSH, instalación y configuración de MySQL y sus respectivas dependencias que hará el papel de repositorio de información para los Logs y Alert’s generados por el IDS Snort, instalación y configuración básica de Snort IDS y sus respectivas reglas de detección.

Descargar video tutorial de Hardening básico de GNU/Linux e instalación y configuración básica de Snort (Password: www.dragonjar.org)

En los siguientes Post veremos el procedimiento necesario para la implementación de Snort bajo CentOS Linux y las diferentes herramientas necesarias e implicadas en ello: MySQL, AdoDB, PHP, Apache, BASE, Ntop, IpTables, Snort, SSH, etc.

En el siguiente video tutorial observamos todo el proceso de instalación de CentOS en una nueva máquina virtual, selección de servicios básicos básicos de CentOS y una pequeña introducción a lo que será el proceso de Hardening de Linux CentOS.

Descargar video tutorial de instalación de CentOS e introducción a Snort bajo Linux (Password: www.dragonjar.org)

Con este video tutorial finaliza el proceso de implementación de Snort en Windows. En los próximos post aprenderemos como implementar esta plataforma de detección de intrusos en GNU/Linux.

Descargar video tutorial de configuración de BASE e IIS en Windows. (Password: www.dragonjar.org)

En el siguiente video tutorial veremos como realizar la configuración avanzada en Snort, ello implica la selección de la red a monitorear según el esquema de seguridad que se está implementando, definición de reglas a utilizar con Snort, Plugins de logs y alertas, directorios de información de los preprocesadores de Snort, configuración avanzada de MySQL y especificación de Snort como servicio del sistema.

Descargar video tutorial de configuración avanzada de Snort en Windows. (Password: www.dragonjar.org)

En el siguiente video tutorial aprenderemos el proceso para llevar a cabo un primer contacto básico con Snort, selección de la interfaz de red, lectura básica del archivo log, edición y configuración del archivo php.ini, dll’s relacionadas con PHP, ADODB, PHPLot, JPGraph y una configuración básica de MySQL.

Descargar video tutorial de configuración básica de Snort (Password: www.dragonjar.org)

Snort:
Snort es un sniffer de paquetes y un detector de intrusos basado en red (se monitoriza todo un dominio de colisión). Es un software muy flexible que ofrece capacidades de almacenamiento de sus bitácoras tanto en archivos de texto como en bases de datos abiertas como lo es MySQL. Implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida. Así mismo existen herramientas de terceros para mostrar informes en tiempo real (ACID) o para convertirlo en un Sistema Detector y Preventor de Intrusos.

Más información>>

En el siguiente video tutorial veremos todo el proceso de recolección, descarga e instalación de las herramientas involucradas con Snort. Entre ellas podemos encontrar:
WinpCap
Snort
MySQL
BASE
PHP
MySQL Connector ODBC
PHPLOT
JpGraph
IIS

Descargar video tutorial de instalación de Snort en Windows (Password: www.dragonjar.org)

Entre otros temas veremos los siguientes:
- Determinar las conexiones existentes en nuestro sistema.
- Verificación y desactivación de servicios y complementos innecesarios.
- Desactivación recursos compartidos innecesarios.
- Eliminación de cuentas por defecto o no utilizadas.
- Visualización y registro del visor de sucesos del sistema.
- Rendimiento e incio del sistema.
- Desinstalación de software innecesario.
- Actualización del Sistema y del Software Antivirus.
- Verificación de privilegios, contraseñas y directivas de los usuarios.
- Descarga de WampServer, Snort, Reglas, ACID, PHPLOT, JPGRAPH y otros archivos necesarios.

Descargar video tutorial de aseguramiento de Windows y la recolección de herramientas para la instalación y configuración de Snort. (Password: www.dragonjar.org)

El desarrollo de este y otros video tutoriales de Hardening está siendo llevado a cabo por John Jairo Hernández (Dino)

El listado de conceptos estará en constante evolución, pues la cantidad de conceptos que pueden estar relacionados con este campo son bastante amplios, por lo tanto iré modificando este post para incluir nuevas definiciones de interés sobre el tema y espero que los lectores envíen también definiciones que deban ser incluídas.

IDS: Un sistema de detección de intrusos (o IDS de sus siglas en inglés Intrusion Detection System) es un programa usado para detectar accesos desautorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan herramientas automáticas. Más información>>

HIDS: (Host-based intrusion detection system) Sistema de detección de intrusos en un Host. Busca detectar anomalías que indican un riesgo potencial, revisando las actividades en la máquina (host). Puede tomar medidas protectoras.

NIDS: Sistema de detección de intrusos en una Red. Busca detectar anomalías que inicien un riesgo potencial, tales como ataques de denegación de servicio, escaneadores de puertos o intentos de entrar en un ordenador, analizando el tráfico en la red en tiempo real. Para ello, analiza todos los paquetes, buscando en ellos patrones sospechosos. Los NIDS no sólo vigilan el tráfico entrante, sino también el saliente o el tráfico local, ya que algunos ataques podrían ser iniciados desde el propio sistema protegido. A pesar de la vigilancia, su influencia en el tráfico es casi nula. Más información>>

Snort: Es un sniffer de paquetes y un detector de intrusos basado en red (se monitoriza todo un dominio de colisión). Es un software muy flexible que ofrece capacidades de almacenamiento de sus bitácoras tanto en archivos de texto como en bases de datos abiertas como lo es MySQL. Implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida. Así mismo existen herramientas de terceros para mostrar informes en tiempo real (ACID) o para convertirlo en un Sistema Detector y Preventor de Intrusos. Más información>>

Amenaza: Es un evento que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos.
Análisis de riesgos: El activo más importante que se posee es la información y, por lo tanto, deben existir técnicas que la aseguren, más allá de la seguridad física que se establezca sobre los equipos en los cuales se almacena. Estas técnicas las brinda la seguridad lógica que consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los datos y sólo permiten acceder a ellos a las personas autorizadas para hacerlo.
Vulnerabilidades: Una vulnerabilidad en seguridad informática hace referencia a una debilidad en un sistema permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad, control de acceso y consistencia del sistema o de sus datos y aplicaciones.
Criptografía: La criptografía (del griego krypto, «oculto», y graphos, «escribir», literalmente «escritura oculta») es el arte o ciencia de cifrar y descifrar información utilizando técnicas que hagan posible el intercambio de mensajes de manera segura que sólo puedan ser leídos por las personas a quienes van dirigidos.

Antivirus: Los antivirus son programas cuya función es detectar y eliminar Virus informáticos y otros programas maliciosos (a veces denominados malware).
Básicamente, un antivirus compara el código de cada archivo con una base de datos de los códigos (también conocidos como firmas o vacunas) de los virus conocidos, por lo que es importante actualizarla periódicamente a fin de evitar que un virus nuevo no sea detectado.
Firewall: Un cortafuegos (o firewall en inglés) es un elemento de hardware o software que se utiliza en una red de computadoras para controlar las comunicaciones, permitiéndolas o prohibiéndolas según las políticas de red que haya definido la organización responsable de la red. Su modo de funcionar es indicado por la recomendación RFC 2979, que define las características de comportamiento y requerimientos de interoperabilidad.
VPN: La Red Privada Virtual (RPV), en inglés Virtual Private Network (VPN), es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada , como por ejemplo Internet.
DMZ: En seguridad informática, una zona desmilitarizada (DMZ, demilitarized zone) o red perimetral es una red local que se ubica entre la red interna de una organización y una red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estén permitidas, mientras que las conexiones desde la DMZ sólo se permitan a la red externa — los equipos (hosts) en la DMZ no pueden conectar con la red interna.
GPG: GPG o GNU Privacy Guard es una herramienta para cifrado y firmas digitales, que viene a ser un reemplazo del PGP (Pretty Good Privacy) pero con la principal diferencia que es software libre licenciado bajo la GPL. GPG utiliza el estándar del IETF denominado OpenPGP.
HoneyPot: Se denomina Honeypot al software o conjunto de computadores cuya intención es atraer a crackers o spammers, simulando ser sistemas vulnerables o débiles a los ataques. Es una herramienta de seguridad informática utilizada para recoger información sobre los atacantes y sus técnicas. Los Honeypots pueden distraer a los atacantes de las máquinas más importantes del sistema, y advertir rápidamente al administrador del sistema de un ataque, además de permitir un examen en profundidad del atacante, durante y después del ataque al honeypot.
HoneyNet: Los Honeynet son un tipo especial de Honeypots de alta interacción que actúan sobre una red entera, diseñada para ser atacada y recobrar así mucha más información sobre posibles atacantes. Se usan equipos reales con sistemas operativos reales y corriendo aplicaciones reales.

Hardening
Para su definición técnica tomaré la expresada por dos expertos:
Escrito por el evangelista en seguridad Roberta Bragg
“Adoptar un enfoque proactivo para la seguridad de la red por el endurecimiento de Windows de los sistemas contra los ataques antes de que ocurran.”
Por Luis Montenegro, Windows y Security MVP 2007
“Haciéndole la vida difícil al atacante. Ese es el concepto que está detrás del Hardening de sistemas operativos. Hardening es una acción compuesta por un conjunto de actividades que son llevadas a cabo por el administrador de un sistema operativo para reforzar al máximo posible la seguridad de su equipo.
Su propósito, entorpecer la labor del atacante y ganar tiempo para poder minimizar las consecuencias de un inminente incidente de seguridad e incluso, en algunos casos, evitar que éste se concrete en su totalidad.(Más información y descarga completa del artículo>>)

Una vez definido de manera muy general este concepto veamos entonces el contenido temático a tratar en los laboratorios (entre paréntesis algunos de los temas a tratar):

- Reglas básicas en Hardening
(Cuentas de usuarios, nivel de privilegios, puertos y servicios innecesarios, etc.)

- Hardening de redes
(Segmentación, Gateway, VLAN’s, VPN, etc)

- Hardening de servicios Web
(servidores web, autenticación, Cifrados, ataques comunes a la Web, etc.)

- Hardening de almacenamiento de datos
(Sistemas de cifrado, protección de datos, entorno de almacenamiento, etc.)

- Hardening a las Bases de Datos
(S.O, permisos, aislamientos, cuentas, firewalls, etc)

- Hardening Wireless
(Wlans, Segmentación, AP’s, etc)

- IDS/IPS
(Instalacción, configuración, ejecución, etc.)

- Hardening frente a los códigos maliciosos
(AntiSpam, Antivirus, AntiPhishing, Zero-Day, etc.)

- Auditorías y Test de penetración
(Evaluando nuestras implementaciones)

Casi la totalidad del contenido a tratar estará basado en el libro: “Hardening Network Security – John Mallery…“

Sean todos bienvenidos a este nuevo recurso y sean bienvenidos todos los comentarios y aportes a los mismos