Salta el contingut

Enfortiment de Xarxes i Sistemes

Proposta didàctica

En aquest mòdul treballem el RA1 al RA7 del mòdul 5022: Dissenya plans de securització incorporant bones pràctiques per a l'enfortiment de sistemes i xarxes, configura sistemes de control d'accés i autenticació, i administra credencials.

Criteris d'avaluació

  • CA1.1 Identifica actius, amenaces i vulnerabilitats en un sistema d'informació.

  • CA1.2 Avalua les mesures de seguretat actuals implementades en el sistema.

  • CA1.3 Realitza una anàlisi de risc de la informació i dels sistemes de tractament de la informació.

  • CA1.4 Prioritza les mesures tècniques de seguretat a implantar (Economia Circular).

  • CA1.5 Dissenya un pla de mesures tècniques de seguretat seguint els principis de privacitat per disseny.

  • CA1.6 Aplica bones pràctiques i estàndards reconeguts internacionalment (CIS Benchmarks, NIST CSF, ISO 27001).

  • CA2.1 Configura mecanismes d'autenticació multifactor.

  • CA2.2 Aplica polítiques d'autenticació basades en contrasenyes seguint les recomanacions actuals.

  • CA2.3 Implementa autenticació basada en certificats digitals.

  • CA2.4 Configura autenticació per tokens i OTP (One-Time Passwords).

  • CA2.5 Analitza els riscos i limitacions de l'autenticació biomètrica.

  • CA3.1 Identifica i classifica els tipus de credencials d'accés als sistemes.

  • CA3.2 Utilitza certificats digitals per a l'accés segur via SSH.

  • CA3.3 Valida la correctesa de certificats web (cadena de confiança, data de caducitat, SAN).

  • CA3.4 Compara certificats vàlids i invàlids identificant-ne les diferències.

  • CA3.5 Configura un servidor RADIUS per a l'autenticació centralitzada de xarxa.

  • CA4.1 Aplica segmentació física de la xarxa separant segments per funció i nivell de confiança.

  • CA4.2 Configura VLANs per a la segmentació lògica de la xarxa.

  • CA4.3 Aplica tècniques de subnetting per incrementar la segmentació i l'aïllament.

  • CA4.4 Configura mecanismes de seguretat en xarxes sense fils (WPA2-Enterprise, WPA3).

  • CA4.5 Implanta túnels segurs VPN entre seus de l'organització.

  • CA5.1 Identifica i configura dispositius de seguretat perimetral (firewalls, IDS/IPS).

  • CA5.2 Detecta errors de configuració de xarxa que puguin representar vulnerabilitats.

  • CA5.3 Analitza logs de tallafoc per identificar patrons d'atac i trànsit sospitós.

  • CA5.4 Proposa i aplica contramesures davant d'amenaces detectades.

  • CA5.5 Utilitza eines de monitorització de seguretat (IDS, IPS, SIEM).

  • CA6.1 Configura la BIOS/UEFI per a un arrencada segura del sistema.

  • CA6.2 Prepara el maquinari per a la primera instal·lació segura del sistema operatiu.

  • CA6.3 Configura la seqüència d'arrencada segura (Secure Boot) del sistema.

  • CA6.4 Implementa el xifrat del sistema de fitxers (LUKS en Linux, BitLocker en Windows).

  • CA6.5 Dissenya l'esquema de particions del sistema de fitxers optimitzat per a la seguretat.

  • CA7.1 Elimina o desactiva els serveis innecessaris per reduir la superfície d'atac.

  • CA7.2 Aplica tècniques d'enfortiment de processos (AppArmor, SELinux, seccomp).

  • CA7.3 Configura l'accés remot segur via SSH seguint les bones pràctiques.

  • CA7.4 Implanta un sistema HIDS (Host-based Intrusion Detection System) com Wazuh o Tripwire.

  • CA7.5 Implementa un sistema de còpies de seguretat segures i verificades.

Continguts de referència

  1. Anàlisi de riscos i planificació de la securització

    • 1.1 Metodologia MAGERIT i ISO 31000
    • 1.2 Identificació i valoració d'actius
    • 1.3 Inventari d'amenaces i vulnerabilitats (CVE, NVD)
    • 1.4 Matriu de riscos (impacte × probabilitat)
    • 1.5 Plans de mesures tècniques i priorització
    • 1.6 Estàndards internacionals: CIS Controls, NIST CSF, ISO 27001
  2. Autenticació i control d'accés

    • 2.1 Factors d'autenticació: coneixement, possessió i inherència
    • 2.2 Autenticació multifactor (MFA/2FA): TOTP, FIDO2, WebAuthn
    • 2.3 Polítiques de contrasenyes (NIST SP 800-63B)
    • 2.4 Certificats digitals X.509 i autenticació basada en PKI
    • 2.5 Tokens hardware i OTP (YubiKey, Google Authenticator)
    • 2.6 Biomètrica: tipus, riscos i limitacions
  3. Gestió de credencials i PKI

    • 3.1 Gestors de contrasenyes corporatives (Bitwarden, HashiCorp Vault)
    • 3.2 Infraestructura de clau pública (PKI): CA, certificats, revocació
    • 3.3 Gestió de claus SSH i accés per certificats
    • 3.4 Privileged Access Management (PAM)
    • 3.5 Protocols d'autenticació centralitzada: RADIUS, TACACS+, Kerberos
    • 3.6 Network Access Control (NAC)
  4. Seguretat de xarxes

    • 4.1 Segmentació física i DMZ
    • 4.2 VLANs (IEEE 802.1Q) i microsegmentació
    • 4.3 Subnetting i disseny segur d'adreçament
    • 4.4 Seguretat WiFi: WPA2-Enterprise, WPA3, 802.1X
    • 4.5 VPN: IPSec, WireGuard, OpenVPN
    • 4.6 Protocols segurs de comunicació: TLS 1.3, SSH, SFTP
  5. Seguretat perimetral i monitorització

    • 5.1 Firewalls de nova generació (NGFW): pfSense, FortiGate
    • 5.2 Web Application Firewalls (WAF): ModSecurity, NGINX WAF
    • 5.3 Sistemes IDS/IPS: Snort, Suricata
    • 5.4 SIEM: Wazuh, Splunk, Elastic Security
    • 5.5 Seguretat de correu electrònic: SPF, DKIM, DMARC
    • 5.6 DDoS protection i DLP
  6. Hardening de sistemes operatius

    • 6.1 Arrencada segura: BIOS/UEFI, Secure Boot
    • 6.2 Xifrat de discos: LUKS (Linux), BitLocker (Windows)
    • 6.3 Hardening de Linux: CIS Benchmark, sysctl, AppArmor
    • 6.4 Hardening de Windows: GPO, Defender, PowerShell CLM
    • 6.5 Hardening de contenidors Docker
    • 6.6 HIDS: Wazuh, Tripwire
    • 6.7 Còpies de seguretat segures

Questionari inicial

  1. Què és la "superfície d'atac" d'un sistema i com es pot reduir?
  2. Quina diferència hi ha entre una amenaça, una vulnerabilitat i un risc en seguretat informàtica?
  3. Quin és el principi del "mínim privilegi" i per a què serveix en la seguretat de sistemes?
  4. Quina diferència hi ha entre autenticació i autorització?
  5. Quins tres factors s'utilitzen en l'autenticació multifactor (MFA)?
  6. Per a què serveix un tallafoc (firewall) i quina diferència hi ha entre un tallafoc de xarxa i un NGFW?
  7. Què és una VLAN i per a quina finalitat s'utilitza en seguretat?
  8. Quina diferència hi ha entre un IDS i un IPS? Posa un exemple de cadascun.
  9. Què és el xifrat de disc complet i per a quina situació és especialment útil?
  10. Què significa "hardening" d'un sistema operatiu? Posa dos exemples concrets.
  11. Quin és el propòsit d'un SIEM en un entorn corporatiu?
  12. Quina diferència hi ha entre WPA2 i WPA3 en seguretat de xarxes WiFi?
  13. Què és una VPN i en quin escenari l'implementaries?
  14. Per a què serveix el protocol SSH i per quina raó és preferible a Telnet?
  15. Quin és el propòsit dels certificats digitals X.509?
  16. Què és el principi de "defensa en profunditat" (defense in depth)?
  17. Quina diferència hi ha entre un atac de força bruta i un atac de diccionari?
  18. Quin és el risc de reutilitzar contrasenyes en múltiples serveis?
  19. Quin és l'objectiu d'un HIDS (Host-based Intrusion Detection System)?
  20. Quines mesures bàsiques apliques en el teu ordinador personal per millorar-ne la seguretat?

Programació d'aula

Aquesta unitat té una durada de 132 sessions (hores) lectives distribuïdes en sis blocs temàtics.

Sessió Continguts Activitats CAs Treballats
1-4 Introducció a la ciberseguretat i anàlisi de riscos Questionari inicial, debat de casos reals CA1.1
5-8 Metodologia MAGERIT, inventari d'actius Elaborar inventari d'actius CA1.1, CA1.2
9-12 Amenaces i vulnerabilitats (CVE, NVD, CVSS) Consulta a NVD, cerca CVEs CA1.1, CA1.3
13-16 Matriu de riscos i anàlisi qualitativa/quantitativa Construcció matriu de riscos CA1.3
17-20 Plans de securització i priorització (Economia Circular) Disseny pla de mesures CA1.4, CA1.5
21-22 CIS Controls, NIST CSF, ISO 27001 - repàs bloc 1 Qüestionari bloc 1 CA1.6
23-26 Factors d'autenticació i MFA Configuració MFA en servei real CA2.1, CA2.2
27-30 TOTP, FIDO2, WebAuthn Implementar TOTP amb app mòbil CA2.1, CA2.4
31-34 Polítiques de contrasenyes (NIST SP 800-63B) Anàlisi de polítiques actuals CA2.2
35-38 Certificats digitals X.509 i PKI Inspeccionar certificats web CA2.3, CA3.3
39-42 Tokens hardware: YubiKey, OTP Prova de bypass SMS-2FA CA2.4, CA2.5
43-44 Biomètrica: riscos i Zero Trust - repàs bloc 2 Qüestionari bloc 2 CA2.5
45-48 Gestors de contrasenyes corporatives Configurar Bitwarden CA3.1
49-52 PKI: CA, certificats, CRL, OCSP Crear CA pròpia amb OpenSSL CA3.1, CA3.2, CA3.3, CA3.4
53-56 Gestió de claus SSH i PAM Pràctica claus SSH sense contrasenya CA3.2
57-60 RADIUS, TACACS+ i Kerberos Laboratori RADIUS amb Docker CA3.5
61-64 HashiCorp Vault i secrets management Desplegament Vault en Docker CA3.1
65-66 NAC i repàs bloc 3 Qüestionari bloc 3 CA3.5
67-70 Segmentació de xarxes, DMZ i microsegmentació Disseny topologia segura CA4.1
71-74 VLANs (IEEE 802.1Q): configuració i seguretat Laboratori VLANs virtuals CA4.2
75-78 Subnetting i adreçament segur Exercicis de disseny de xarxa CA4.3
79-82 Seguretat WiFi: WPA2-Enterprise, WPA3, 802.1X Captura i anàlisi de trànsit WiFi CA4.4
83-86 VPN: IPSec, WireGuard, OpenVPN Pràctica WireGuard amb Docker CA4.5
87-88 TLS 1.3, SFTP, SD-WAN - repàs bloc 4 Qüestionari bloc 4 CA4.4, CA4.5
89-92 BIOS/UEFI Secure Boot i xifrat de disc Configurar BitLocker / LUKS CA6.1, CA6.2, CA6.3, CA6.4
93-96 Particions segures i gestió d'espai Laboratori particions LUKS CA6.5
97-100 Hardening Linux: CIS Benchmark, sysctl, SSH Aplicar CIS Benchmark a Ubuntu CA7.1, CA7.2, CA7.3
101-104 Hardening Windows: GPO, BitLocker, Defender Aplicar GPO restrictives CA7.1, CA7.2
105-108 Hardening Docker i contenidors Auditoria Trivy/Docker Scout CA7.1, CA7.2
109-110 HIDS (Wazuh, Tripwire) i còpies de seguretat Instal·lar agent Wazuh CA7.4, CA7.5
111-114 NGFW: pfSense, nftables, regles de tallafoc Pràctica Firewall amb Docker CA5.1, CA5.2, CA5.3
115-118 WAF: ModSecurity, NGINX WAF Laboratori WAF contra OWASP Top 10 CA5.1, CA5.4
119-122 IDS/IPS: Suricata, Snort Crear regles Suricata personalitzades CA5.5
123-126 SIEM: Wazuh, Elastic Security Dashboard de seguretat CA5.5
127-130 Correu electrònic segur: SPF, DKIM, DMARC Verificar registres DNS de correu CA5.4
131-132 DDoS protection, DLP, CASB - repàs final Qüestionari final del mòdul Tots

Introducció a l'Enfortiment de Sistemes

Concepte de defensa en profunditat

L'enfortiment de sistemes (hardening) és el procés de reduir la superfície d'atac d'un sistema eliminant vulnerabilitats, desactivant serveis innecessaris, i aplicant configuracions de seguretat. No és un procés puntual sinó continu, ja que noves vulnerabilitats apareixen constantment.

La filosofia central és la defensa en profunditat (defense in depth), un concepte de l'OTAN adaptat a la ciberseguretat: si un atacant supera una capa de defensa, n'ha de superar diverses més. Cap capa és perfecta per si sola, però la combinació de múltiples capes fa que els atacs siguin molt més costosos i difícils.

graph TB
    Internet["🌐 Internet / Atacant"]

    subgraph Perimetre ["Capa 1 – Perímetre"]
        NGFW["NGFW / Tallafoc"]
        IPS["IDS/IPS"]
        WAF["WAF"]
    end

    subgraph Xarxa ["Capa 2 – Xarxa"]
        VLAN["Segmentació VLANs"]
        VPN["Túnels VPN"]
        NAC["Control d'Accés NAC"]
    end

    subgraph Endpoints ["Capa 3 – Endpoint"]
        AV["Antivirus / EDR"]
        HIDS["HIDS (Wazuh)"]
        AppArmor["AppArmor / SELinux"]
    end

    subgraph Aplicacio ["Capa 4 – Aplicació"]
        Auth["Autenticació MFA"]
        AuthZ["Autorització RBAC"]
        Crypto["Xifratge TLS 1.3"]
    end

    subgraph Dades ["Capa 5 – Dades"]
        Encrypt["Xifrat en repòs"]
        DLP["DLP"]
        Backup["Còpies segures"]
    end

    subgraph Monitoritzacio ["Capa transversal – Monitorització"]
        SIEM["SIEM"]
        SOC["SOC"]
    end

    Internet --> Perimetre
    Perimetre --> Xarxa
    Xarxa --> Endpoints
    Endpoints --> Aplicacio
    Aplicacio --> Dades
    Monitoritzacio -.->|Observa totes les capes| Perimetre
    Monitoritzacio -.-> Xarxa
    Monitoritzacio -.-> Endpoints
    Monitoritzacio -.-> Aplicacio
    Monitoritzacio -.-> Dades

    style Internet fill:#ff4444,color:#fff
    style Perimetre fill:#ff8800,color:#fff
    style Xarxa fill:#ffaa00
    style Endpoints fill:#88cc00
    style Aplicacio fill:#00aacc
    style Dades fill:#0066cc,color:#fff
    style Monitoritzacio fill:#9900cc,color:#fff

Per què és important l'enfortiment?

Les estadístiques de seguretat mostren que la majoria de bretxes de seguretat exitoses s'exploten a través de:

  • Configuracions per defecte no canviades (credencials per defecte, serveis innecessaris actius)
  • Sistemes no actualitzats (vulnerabilitats conegudes sense pegat)
  • Autenticació feble (contrasenyes simples, sense MFA)
  • Excés de privilegis (usuaris/processos amb més permisos dels necessaris)
  • Falta de monitorització (atacants actius durant mesos sense detecció)

Cas real: SolarWinds (2020)

L'atac a SolarWinds va comprometer milers d'organitzacions incloent agències del govern dels EUA. Els atacants van inserir codi maliciós en una actualització legítima del programari, aprofitant la confiança en la cadena de subministrament de programari. La detecció va trigar 9 mesos. Lliçó: la defensa en profunditat i la monitorització contínua són essencials.

Els estàndards de referència

Per sistematitzar l'enfortiment, existeixen diversos marcs de referència:

CIS Controls (Center for Internet Security): 18 controls prioritzats basats en l'efectivitat real per prevenir els atacs més comuns. Organitzats en tres grups: bàsics (Grup 1), fonamentals (Grup 2) i organitzacionals (Grup 3).

NIST Cybersecurity Framework (CSF): Marc del National Institute of Standards and Technology dels EUA, organitzat en cinc funcions: Identificar, Protegir, Detectar, Respondre i Recuperar.

ISO/IEC 27001: Estàndard internacional per als sistemes de gestió de la seguretat de la informació (SGSI). Proporciona un marc per establir, implementar, mantenir i millorar la seguretat.

CIS Benchmarks: Guies de configuració específiques per sistemes operatius, aplicacions i dispositius de xarxa. Disponibles per Ubuntu, Windows, Docker, Kubernetes, etc.

Recomanació pràctica

Comença sempre pels CIS Controls del Grup 1 (Controls de seguretat bàsics). Implementar els 6 primers controls (inventari de dispositius, inventari de programari, configuració segura, gestió de vulnerabilitats, accés controlat, logs i auditoria) prevé el 85% dels atacs comuns.


Estructura del Mòdul

Aquest mòdul s'organitza en sis grans blocs temàtics que cobreixen tots els aspectes de l'enfortiment:

Bloc 1: Anàlisi de Riscos i Planificació

Aprèn a identificar sistemàticament els riscos d'una organització i a dissenyar un pla de mesures tècniques prioritzat. Treballaràs amb la metodologia MAGERIT, les matrius de riscos, i els estàndards CIS Controls, NIST CSF i ISO 27001.

Anàlisi de Riscos i Plans de Securització

Bloc 2: Autenticació i Control d'Accés

Configuraràs sistemes d'autenticació robustos incloent MFA, TOTP, FIDO2 i certificats digitals. Analitzaràs les vulnerabilitats dels mètodes d'autenticació actuals i aplicaràs les recomanacions del NIST SP 800-63B.

Autenticació i Control d'Accés

Bloc 3: Gestió de Credencials i PKI

Desplegaràs una infraestructura de clau pública (PKI), gestionaràs credencials privilegiades amb HashiCorp Vault, i configuraràs protocols d'autenticació centralitzada com RADIUS i Kerberos.

Gestió de Credencials i PKI

Bloc 4: Seguretat de Xarxes

Dissenyaràs xarxes segmentades amb VLANs i DMZ, configuraràs VPNs amb WireGuard, i aplicaràs seguretat a les xarxes WiFi corporatives. Practicaràs subnetting orientat a la seguretat.

Seguretat de Xarxes

Bloc 5: Hardening de Sistemes Operatius

Aplicaràs els CIS Benchmarks per enfortir sistemes Linux i Windows, configuraràs l'arrencada segura amb UEFI Secure Boot, implementaràs LUKS i BitLocker, i desplegaràs un HIDS amb Wazuh.

Hardening de Sistemes

Bloc 6: Seguretat Perimetral

Desplegaràs un entorn complet de seguretat perimetral: tallafocs NGFW, WAF, IDS/IPS amb Suricata, i SIEM. Analitzaràs logs de seguretat i crearàs regles de detecció personalitzades.

Seguretat Perimetral


Pràctiques del Mòdul

Les pràctiques principals del mòdul permeten aplicar els conceptes en entorns de laboratori basats en Docker:


Glossari de Termes Clau

  • Actiu: Qualsevol element que té valor per a l'organització (dades, sistemes, processos)
  • Amenaça: Causa potencial d'un incident que pot causar danys a un sistema
  • Autenticació: Procés de verificar la identitat d'un usuari o sistema
  • CVE: Common Vulnerabilities and Exposures - identificador únic de vulnerabilitats
  • DMZ: Demilitarized Zone - segment de xarxa aïllat per a serveis públics
  • Hardening: Procés de securització reduint la superfície d'atac
  • HIDS: Host-based Intrusion Detection System
  • IDS: Intrusion Detection System - detecta intrusos
  • IPS: Intrusion Prevention System - detecta i bloqueja intrusos
  • LUKS: Linux Unified Key Setup - xifrat de disc en Linux
  • MFA: Multi-Factor Authentication - autenticació multifactor
  • NGFW: Next-Generation Firewall - tallafoc de nova generació
  • PKI: Public Key Infrastructure - infraestructura de clau pública
  • RADIUS: Remote Authentication Dial-In User Service
  • Risc: Probabilitat que una amenaça exploti una vulnerabilitat causant un impacte
  • SIEM: Security Information and Event Management
  • SOC: Security Operations Center
  • Superfície d'atac: Conjunt de vectors d'atac disponibles per a un atacant
  • VPN: Virtual Private Network - xarxa privada virtual
  • Vulnerabilitat: Debilitat en un sistema que pot ser explotada
  • WAF: Web Application Firewall
  • Zero Trust: Model de seguretat que no confia implícitament en cap usuari o dispositiu