miércoles, 21 de junio de 2017

Seguridad de la BIOS

Seguridad del BIOS y del gestor de arranque

La protección con contraseñas para el BIOS (o equivalentes al BIOS) y el gestor de arranque, pueden ayudar a prevenir que usuarios no autorizados que tengan acceso físico a sus sistemas, arranquen desde medios removibles u obtengan acceso como root a través del modo monousuario. Pero las medidas de seguridad que uno debería tomar para protegerse contra tales ataques dependen tanto de la confidencialidad de la información que las estaciones tengan como de la ubicación de la máquina.
Por ejemplo, si se utiliza una máquina en una exhibición y esta no contiene datos confidenciales, entonces puede que no sea crítico prevenir tales ataques. Sin embargo, si se deja al descuido en la misma exhibición, la portátil de uno de los empleados con llaves privadas SSH sin encriptar para la red corporativa, esto puede conducir a una violación de seguridad importante para la compañía completa.
Por otro lado, si la estación de trabajo está localizada en un lugar donde sólo los usuarios autorizados o de confianza tienen acceso, entonces la seguridad del BIOS o del gestor de arranque puede que no sea necesaria.

CONTRASEÑAS DEL BIOS

Las siguientes son las dos razones básicas por las que proteger la BIOS de una computadora con una contraseña:
  1. Prevenir cambios a las configuraciones del BIOS — Si un intruso tiene acceso a la BIOS, puede configurarlo para que arranque desde un diskette o CD-ROM. Esto les permite entrar en modo de rescate o monousuario, lo que a su vez les permite plantar programas dañinos en el sistema o copiar datos confidenciales.
  2. Prevenir el arranque del sistema — Algunas BIOSes le permiten proteger el proceso de arranque con una contraseña. Cuando está funcionalidad está activada, un atacante esta forzado a introducir una contraseña antes de que el BIOS lanze el gestor de arranque.
Debido a que los métodos para colocar contraseñas del BIOS varían entre fabricantes de equipos, consulte el manual de su computador para ver las instrucciones específicas.
Si olvida su contraseña del BIOS, usualmente esta se puede reconfigurar bien sea a través de los jumpers en la tarjeta madre o desconectando la batería CMOS. Por esta razón, es una buena idea bloquear el chasis del computador si es posible. Sin embargo, consulte el manual del computador o tarjeta madre antes de proceder a desconectar la batería CMOS.

Aseguramiento de plataformas diferentes a x86

Hay plataformas que utilizan programas diferentes para llevar a cabo tareas de bajo nivel más o menos similares a las del BIOS en sistemas x86. Por ejemplo, las computadoras basadas en Intel® Itanium™ utilizan la Extensible Firmware Interface (EFI).
Para ver las instrucciones sobre cómo proteger con contraseñas estos programas, refiérase a las instrucciones del fabricante.

CONTRASEÑAS DEL GESTOR DE ARRANQUE

A continuación se muestran las razones principales por las cuales proteger el gestor de arranque Linux:
  1. Previene el acceso en modo monousuario — Si un atacante puede arrancar en modo monousuario, se convierte en el superusuario de forma automática sin que se le solicite la contraseña de acceso.
  2. Previene el acceso a la consola de GRUB — Si la máquina utiliza GRUB como el gestor de arranque, un atacante puede usar la interfaz del editor para cambiar su configuración o para reunir información usando el comando cat.
  3. Previene el acceso a sistemas operativos inseguros — Si es un sistema de arranque dual, un atacante puede seleccionar un sistema operativo en el momento de arranque, tal como DOS, el cual ignora los controles de acceso y los permisos de archivos.

 Protegiendo GRUB con contraseñas

Para hacer esto, primero seleccione una contraseña, luego abra un indicador de comandos del shell, conéctese como root y escriba:
/sbin/grub-md5-crypt
Cuando se le pida, escriba la contraseña GRUB y presione [Intro]. Esto retornará un hash MD5 para la contraseña.
Luego, modifique el archivo de configuración GRUB /boot/grub/grub.conf. Abra el archivo y debajo de la línea timeout en la sección principal del documento, añada la siguiente línea:
password --md5 <password-hash>
Reemplace <password-hash> con el valor retornado por /sbin/grub-md5-crypt.
La próxima vez que el sistema arranque, el menú de GRUB no le permitirá accesar el editor o la interfaz de comandos sin primero presionar [p] seguido por la contraseña de GRUB.
Lamentablemente, esta solución no previene a un atacante de arrancar en un sistema operativo inseguro, si se está en un ambiente de arranque dual. Para esto, necesita editar una parte diferente del archivo /boot/grub/grub.conf.
Busque la línea title del sistema operativo inseguro y añada una línea que diga lock directamente debajo de ella.
Para un sistema DOS, la estrofa debería comenzar con algo similar a:
title DOS
lock
AvisoAviso
Debe tener una línea password en la sección principal del archivo /boot/grub/grub.conf para que esto funcione adecuadamente. De otra forma un atacante podrá acceder a la interfaz del editor de GRUB y eliminar la línea de bloqueo.
Para crear una contraseña diferente para un kernel o sistema operativo particular, añada una línea lock a la estrofa, seguido por una línea de contraseña.
Cada estrofa que usted proteja con una contraseña única debería comenzar con líneas similares a las del ejemplo siguiente:
title DOS
lock
password --md5 <password-hash>
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)