Hardening é um processo de segurança cibernética que visa tornar sistemas de computadores, redes, aplicativos ou dispositivos mais seguros, reduzindo sua exposição a ameaças e ataques maliciosos. O objetivo principal do hardening é fortalecer a infraestrutura e minimizar as vulnerabilidades, tornando-os mais resilientes contra potenciais ameaças. Durante o processo de hardening, são implementadas uma série de medidas e práticas de segurança, como:

Autenticação: Garantir que apenas usuários autorizados tenham acesso ao sistema, exigindo a autenticação com senhas fortes ou outros métodos seguros. Sendo o processo que busca verificar a identidade do usuário no momento em que requisita o acesso. A ISO 27000/2014 define Autenticação como a garantia de que uma característica reivindicada de uma entidade está correta.

Exemplos:

• Deve ser criado um usuário para cada operador ativo da rede, desativando contas antigas.
• Uma única conta padrão de administração não deve ser utilizada por usuários diferentes, o acesso padrão deve ser utilizado somente para backup e emergências.
• As senhas de acesso devem ser fortes.
• As senhas não devem ser armazenadas em texto puro.
• Utilização de senhas com verificação em duas etapas ou duplo fator.

Autorização: Controlar as permissões de acesso, limitando o que os usuários podem fazer uma vez que estão autenticados.

Exemplos: 

• Cada usuário deve ter permissão para acessar o equipamento de acordo com o seu trabalho. A senha de administrador não deve ser fornecida a todos os usuários, pois podem haver agentes maliciosos ou sem a formação necessária para lidar com esses recursos internamente.
• Classificar o usuário em um grupo de privilégio, funcionalidade que é permitida em vários sistemas, como: apenas visualização de configurações, alteração de determinadas configurações e administrador com acesso pleno.

Criptografia: Proteger dados sensíveis por meio de técnicas de criptografia, dificultando o acesso não autorizado.

Manutenção de registros: Registrar e monitorar atividades no sistema, permitindo auditorias e identificação de comportamentos suspeitos.

Exemplos:

• Utilize uma mensagem de login como: “Roteador pertencente a empresa X, acessos não autorizados serão monitorados, investigados e entregues às autoridades responsáveis”. Existem governos que exigem essas mensagens para o âmbito legal.
• Configure os registros com diferentes níveis de criticidade.
• Evite gerenciar logs dentro dos roteadores, pois quanto mais funções o roteador tiver que executar, menos processamento será utilizado para rotear pacotes.
• Envie os logs de maneira segura para uma outra máquina. A segurança é importante, pois algum agente malicioso pode interceptá-los.
• Guarde os logs de maneira segura, eles são necessários para uma auditoria e podem ajudar em ações na Justiça.
• Data e horário dos registros devem estar sincronizados com o NTP.br.

Atualizações e correções: Manter o software, sistemas operacionais e aplicativos atualizados com as últimas correções de segurança para evitar vulnerabilidades conhecidas.

Desativação de serviços desnecessários: Desabilitar ou remover recursos, serviços ou portas que não são essenciais para o funcionamento do sistema, reduzindo o número de possíveis pontos de entrada para ataques.

Exemplos:

• Não utilize protocolos inseguros, como Telnet, FTP, HTTP, MAC-Telnet ou Winbox, desative-os se não estiverem operando. Se esse for o único meio de acesso à máquina, restrinja o alcance para somente ser acessada pela interface de gerência, uma rede separada e protegida.
• Desativar todas as interfaces não utilizadas, ou seja, interfaces que não possuem cabos conectados.
• Desativar todos os serviços não utilizados, inseguros e que podem ser utilizados para ataques de amplificação, como testadores de banda (quando não estiverem em uso), DNS recursivo e Servidor NTP.
• Remover ou desativar os pacotes de funções extras não utilizadas, como por exemplo pacote wireless do dispositivo.
• Desabilitar os protocolos de descoberta de vizinhança, como CDP, MNDP e LLDP, que facilitam a descoberta do tipo do seu roteador e inundam a rede com mensagens desnecessárias. Tome cuidado com o IPv6, já que a descoberta de vizinhança é essencial nessa versão do protocolo IP: sem ela, nada funciona.

Configuração segura: Ajustar configurações do sistema e aplicativos para uma postura mais segura, seguindo as melhores práticas de segurança.

Exemplos:

• Utilize preferencialmente protocolos com suporte a mensagens criptografadas: SSH, HTTPS, SFTP ou Winbox no secure mode, na última versão estável disponível. Para o SSH, utilize a versão 2 com strong crypto.
• Mude a porta padrão do serviço. Essa medida é eficaz contra um ataque simples que faz varreduras por portas padrão.
• Manter o sistema sempre atualizado na versão mais recente e estável.
• Aplicar todos os patches de segurança.
• Procurar testar as atualizações, antes de aplicá-las em produção, num ambiente controlado.
• Manter sempre um backup atualizado das configurações atuais.
• Enviar o backup para uma outra máquina de maneira segura, utilizando e-mail criptografado, SCP ou SFTP.
• Guardar o backup numa máquina segura, pois as informações operacionais da empresa estão nessa máquina e hashes de senhas podem ser decifrados.
• Manter um script de hardening de máquinas da rede, de forma que você saiba as políticas mínimas de segurança que precisam ser aplicadas ao comprar uma nova máquina.
• Manter o script de hardening atualizado: cada nova política precisa ser agregada ao script.

Segurança física: Proteger o hardware e os equipamentos contra acesso não autorizado.

Exemplos:

• Utilize a hora legal brasileira, sincronizando a rede com o NTP.br
• Não permita acesso por todas as interfaces dos equipamentos.
• Escolha uma interface de loopback para os seus serviços e faça essa interface ser parte da sua rede de gerência. Essas interfaces são mais estáveis, não sofrem com variações no link e caso uma interface física fique indisponível, os protocolos de roteamento procuram um novo caminho.
• Force o logout depois de um tempo de inatividade. Isso evita que alguém use sua máquina em sua ausência e que um atacante monitore o tempo de inatividade para tomar controle da máquina.
• Force o logout depois de desconectar o cabo. Isso evita que alguém reconecte o cabo e use o seu login

Conscientização do usuário: Treinar os usuários sobre as práticas de segurança e a importância de evitar comportamentos de risco.

Auditoria: O procedimento de auditoria é o acesso às informações relacionadas à utilização de recursos da infraestrutura pelos usuários.

Exemplos:

• Manter o registro de cada usuário com suas respectivas permissões.
• Registrar as ações dos usuários nos sistemas.
• Classificar os registros com nível de criticidade: Informativo, Aviso e Crítico.
• Classificar os registros em tipos: Documentos, Registros (Logs) e Backup de configuração.
• Os registros devem ter data e hora corretas.
• Armazene os registros sobre as ações realizadas na rede para finalidade de auditoria. Esses registros ajudam a identificar comandos indevidos na rede.
• Armazene o registro de tentativas de acesso. Essa medida ajuda a identificar ataques de força bruta, de negação de serviço e de tentativa de roubo de informações.

É sempre bom ressaltar que realizamos esse serviço 

HARDENING - Brute Force Security