Hardening
Hasta ahora venías reaccionando: leer logs, detectar patrones. El hardening es la parte proactiva por excelencia — cerrar puertas antes de que nadie las pruebe siquiera.
Qué es el hardening
Hardening (literalmente "endurecimiento") es el proceso de reducir la superficie de ataque de un sistema: apagar servicios innecesarios, cambiar configuraciones inseguras por defecto, aplicar el principio de mínimo privilegio, y mantener todo actualizado. La idea central es simple: si algo no necesita estar expuesto, no debería estarlo.
Un edificio con 40 puertas es más difícil de vigilar que uno con 3, aunque las 40 tengan buena cerradura. El hardening es tapiar las 37 puertas que nunca se usan, dejar solo las 3 necesarias, y poner ahí toda la atención. Cada servicio corriendo sin necesidad es una puerta más que alguien tiene que vigilar — o que un atacante puede probar.
El principio de mínimo privilegio
Es la idea más importante de todo este módulo: cada usuario, proceso o servicio debería tener exactamente los permisos que necesita para hacer su trabajo, ni uno más. Si un sistema de facturación solo necesita leer una base de datos, no debería tener permisos de administrador sobre todo el servidor — porque si ese proceso llega a ser comprometido (recordá la Post-explotación del camino Red Team), el atacante hereda automáticamente esos mismos permisos excesivos.
Superficie de ataque: reducirla en cada capa
Apagar lo innecesario
Si un servidor no necesita FTP, se apaga el servicio. Cada puerto abierto sin uso es una puerta más para vigilar.
Eliminar accesos por defecto
Cambiar o eliminar usuarios y contraseñas que vienen preconfigurados de fábrica en routers, cámaras, servidores.
Parchear a tiempo
Cada CVE público (¿recordás Vulnerabilidades del camino Red Team?) es una carrera: parchear antes de que alguien lo explote.
Segmentación
Dividir la red en secciones aisladas, para que comprometer una máquina no dé acceso automático a toda la organización.
Segmentación de red: limitar el movimiento lateral antes de que exista
En Post-explotación viste cómo un atacante se mueve lateralmente de una máquina comprometida a otras de la misma red. La segmentación de red (dividir la red en zonas separadas, con firewalls entre ellas) es la contramedida directa: si el servidor web está en una zona aislada de la base de datos de recursos humanos, comprometer uno no da acceso automático al otro.
Bastion hosts y superficie mínima
Un bastion host es una máquina especialmente endurecida y expuesta a propósito como único punto de entrada controlado a una red interna — todo lo demás queda inaccesible desde afuera. Es una aplicación directa de la idea de reducir puntos de entrada: en vez de vigilar 40 puertas, se vigila intensamente una sola, diseñada específicamente para resistir.
Un buen hardening hace que el reconocimiento y el escaneo de un atacante devuelvan mucho menos: menos puertos abiertos, versiones de software siempre actualizadas (sin CVEs viejos explotables), sin credenciales por defecto. Buena parte de lo que hace fácil un pentest exitoso, en la práctica, es simplemente un hardening pobre del lado defensivo.
En tu Linux (real o virtual), listá los servicios activos con systemctl list-units --type=service --state=running.
Revisá la lista: ¿hay algo corriendo que no reconocés o no necesitás? Investigá antes de tocar nada — algunos servicios son del sistema y no deberían apagarse a la ligera.
Corré nmap localhost desde la propia máquina para ver qué puertos quedan expuestos incluso a nivel local.
Compará ese resultado con el escaneo que hiciste en el módulo de Escaneo del camino Red Team contra Metasploitable — vas a notar la diferencia entre una máquina deliberadamente vulnerable y una mínimamente endurecida.
Ponete a prueba
1. ¿Qué es el principio de mínimo privilegio?
2. ¿Para qué sirve la segmentación de red?
3. ¿Qué es un bastion host?