Guía Hardening – Seguridad en la BIOS y BootLoader

Hoy trataremos un tema que en muchas ocasiones por desconocimiento, dejadez, pura vaguearía, o bien por creernos que con cifrar nuestro sistema, y poner un par de contraseñas nuestro sistema es seguro, se deja de lado, pero siento deciros que es más importante de lo que se cree en algunos casos.

La seguridad física es muy importante y en algunos escenarios obligatoria, evidentemente la casuística es enorme, muchos de nosotros tenemos portátiles con los cuales vamos a todas partes, y se puede dar el caso de perder el equipo, que nos lo roben, en el caso de equipamiento tipo servidores, workstations de sobremesa, etc. somos susceptibles de que alguien con unos pocos conocimientos técnicos, o haberse documentado un poco, puedan tener acceso a los datos que con tanto mimo guardamos en dichos equipos.

En otras ocasiones, nos podemos encontrar con que el servidor que gestionamos, se encuentra al alcance de cualquier usuario que tenga acceso a unas oficinas, o incluso un housing en un CPD, aunque en este último los niveles de seguridad tanto física como de acceso es mayor, debido al servicio que nos ofrecen y los protocolos para acceder, incluso en caso de incidencia.

Por otra parte la mayoría de guías y debido al alza de servidores privados virtuales (VPS) este asunto ni se trata, es totalmente innecesario, pero en nuestro caso si queremos hablar de ello, como mínimo dar unas pinceladas, más que nada, porque esta guía pretende ser lo más abierta posible y para casi todos los públicos.

Un último apunte: SIEMPRE SE DOCUMENTA TODO LO QUE HAGAMOS.

 BIOS

Creo que todos estamos hartos de ver esa pantalla con el logo de la compañía de turno, informado del método de acceso a la BIOS, y en muchos casos, la mayoría de usuarios ni han entrado ni conocen que es la BIOS.
La BIOS ( Basic Input Output System) es una interfaz de firmware que se ejecuta nada más arrancar nuestra maquina, en ella podemos configurar varios aspectos, fecha, hora, discos secundarios, unidades DVD, etc..
El número de opciones que tenemos dependerá del año, fabricante, modelo e incluso la versión de la BIOS que tengamos, pero algunas de estas opciones son en casi todos los casos iguales.

Por otra parte, aclararte que en este capítulo será casi imposible decirte a donde tienes que ir exactamente, por lo que a continuación recomiendo que antes de hacer nada obtengas un manual de vuestra maquina, normalmente en la página web del fabricante lo puedes encontrar, y a las muy malas por ser una maquina un poco antigua, puedes utilizar algún buscador.

¿Qué es lo que debo hacer?

Pues es muy sencillo, primero prevenir cualquier cambio en la configuración BIOS, y segundo, prevenir el arranque del sistema.

Lo primero que debemos realizar es comprobar si nuestra versión de BIOS, es ta actualizada, si hay nuevas versiones, se debería hacer un pensamiento en ACTUALIZAR (OJO – no nos hacemos responsables de lo que pase después), a continuación podemos poner una contraseña en el arranque, con esto evitamos dos cosas, la primera el acceso a nuestra maquina y su arranque sin dicha contraseña, y por otra evitar el acceso a la BIOS.

Algo que tenemos que TENER SIEMPRE EN MENTE, y es que hay varios métodos para saltarse estas protecciones, de la existencia de contraseña maestras, y aplicaciones para recuperarla/resetearla, incluso realizando algunos acciones sobre el hardware, véase, quitar la pila X horas, en algunos modelos de placas base con switches, o jumpers, etc. que por una parte está muy bien ante un error al teclear la contraseña, pero por otra supone una brecha en nuestra seguridad, de todas maneras, con esta acción conseguimos poner las cosas un poco más difícil a un atacante.

Tras evitar el acceso a nuestra bios, y así, la posibilidad de cambiar los valores de arranque, debemos evitar que se pueda acceder al sistema con un USB o un CD por ejemplo, por lo que el siguiente paso será limitar las opciones de arranque del sistema, para ello eliminamos todas las opciones y dejamos solo una, arranque desde disco duro.

A partir de aquí las opciones pueden variar mucho, actualmente en el mercado podemos encontrar muchos sistemas de seguridad, que van desde lectores de huellas digitales, a llaves usb para poder arrancar, por eso insistimos en conseguir vuestro manual, y buscar si dispones de más opciones de seguridad, las cuales ya quedan en vuestra mano el aplicarlas o no.

BOOTLOADER

Otra de las opciones que disponemos, es la de proteger el arranque de cualquier sistema instalado en nuestra maquina desde el GRUB, para ellos solo necesitamos seguir unos sencillos pasos que debemos hacer con el usuario ROOT.

Primero debemos generar una contraseña cifrada, con el comando grub-mkpasswd-pbkdf2, este generara un hash de la contraseña que introduciremos seguidamente, y una vez generada, debemos copiar el código resultante que posteriormente utilizaremos.

root@debian~# grub-mkpasswd-pbkdf2

Reintroduzca la contraseña: 

El hash PBKDF2 de su contraseña es grub.pbkdf2.sha512.10000.9E146F5CD6A42071BD5CC805A50E5E2C1F8FD89A107009EB625F87077 EDE5CE1986033ABDEDA9B66467AC65FF633914519A455D706059A270ACA3751F8A655A2.48717C
94C54DDE7FE2C7AD1A8EF2C540D51E3F94DD405952B2C3204AA5FD5114822CF4DE8B9318FDCB

A continuación tenemos que editar con nano, vi, vim, o el editor que más nos guste, el archivo 40_custom, y añadir el usuario (en nuestro caso aprendiz) de la siguiente manera.

root@debian~# vi /etc/grub.d/40_custom

# definir superusuario

set superusers=”aprendiz”

#definir usuarios #definir usuarios

password_pbkdf2 aprendiz (El hash PBKDF2 de su contraseña)

Una vez hecho esto, solo queda actualizar el grub.

root@debian~# update-grub

Alguno estará pensando ahora mismo que “cuanta contraseña ” y que esto es un poco paranoico, bueno, aquí cada uno debe ser consciente de que tipos de datos debe proteger, y si es necesario todo esto o incluso más.

Resumiendo por puntos:

  • BIOS
    • Contraseña de configuración y acceso OK
    • Eliminar opcionoes de arranque OK
  • BOOTLOADER
    • Contraseña cifrada OK

Para terminar, solo recordaros que para cualquier duda tenéis a vuestra disposición los comentarios, y el formulario de contacto ¡¡hasta la próxima!!