PDF de programación - Bastionado de sistemas Linux

Bastionado de sistemas Linux
Jose Luis Chica

¿De qué !$%=& va esto?

● Identificar los riesgos que vamos a

enfrentarnos como sysadmins

● Mostrar recomendaciones
● Implantar según necesidades

~$ whois ponente

● Ing. Técnico en Informática de Gestión

por la UMU

● Security Engineer en S2 Grupo
● Miembro del Centro de Seguridad TIC de

la Comunidad Valenciana (CSIRT-cv)

● Asiduo de las MLP ;)

CSIRT-cv

● Boletines, RSS de fabricantes
● Noticias diarias
● Cursos online gratuitos, guías, campañas

de concienciación

● Informes de phising. Mándanos!
● Twitter: @csirtcv
● FB: www.facebook.com/csirtcv

Bastionado!

● Aplicado al equipo

● Aplicado a la red

Defensa en profundidad

● Medidas de seguridad en varias capas
● Contención en caso de que una caiga

Bastionado de HOST

Reglas básicas

● Minimizar la superficie de ataque
● Controlar accesos
● Monitorizar
● Copias de seguridad

Instalar sistema mínimo

● Quitar compiladores, X, herramientas

de desarrollo...

● Más estable
● Menos propenso a fallos

Actualizado

● Actualizaciones arreglan bugs

● Y vulnerabilidades!

● No sirve la excusa “no está conectado

directamente a internet”·

Actualizado

● Necesario pruebas en pre antes de

aplicar parches

● Útil sistemas virtualizados

● Snapshot, parcheo, vuelta atrás si no

funciona

Servicios deshabilitados

● Si no se necesita, páralo

● Si no sabes si lo necesitas, páralo, y

observa si algo explota ;)

Aislarse del resto
● Idealmente, un host, un servicio

● Reglas de firewall para evitar:

○ Conexiones del resto de DMZ
○ Conexiones entrantes de otras redes
○ Conexiones salientes

Seguridad física

● Protección de la BIOS

● Protección del GRUB

● Acceso al rack

Seguridad del kernel

● Contramedidas ante exploits

● PAX, SELinux, AppArmor

NTP

● Sincronización de todos los timestamp

● Para la correlación y análisis de logs,

se agradece

CONTROL DE ACCESO

● No permitir accesos como root

○ Alternativa, uso de clave pública

entre equipos

● Cambiar puerto por defecto

SUDO

● Uso de comandos como administrador
sin necesidad de conocer el password

● Da permisos a comandos concretos

● Se registra todo

Otros

● Cuota de disco
● Política de contraseñas
● Permisos de usuario y grupo
● Usar VPN para accesos a redes

MONITORIZACIÓN

● Imprescindible controlar el estado de

los dispositivos

● Luchar contra la entropía

○ Si el medio cambia, nosotros también

Servidor de syslog

● Se guardan los logs en lugar seguro

○ Protegido de modificaciones ilícitas

en caso de incidente

○ Recomendado firma y timestamp

● Análisis de log y correlación

○ Acceso a las 5am?

Disponibilidad

● Control del estado del equipo/servicio

● Capacidad de actuación inmediata en

caso de caída de servicio

Control de integridad

● Monitorización de cambios en ficheros

críticos

● AntiRootkits

Auditorías periódicas

● Vulnerabilidades

● Revisiones y propuestas de mejora

COPIA - REPLICACIÓN

● Incidentes pasan, A TODOS!

○ Intrusiones
○ Discos duros muertos
○ Caídas de red

● ¿Cuánto costaría una hora sin servicio?
● ¿Cuánto costaría haberlo evitado?

Copias de seguridad

● Activos críticos

○ BBDD
○ Archivos de configuración
○ Documentos

Replicación

● Copias a otro CPD

● Descentralización de infraestructura
○ En caso de caída, posibilidad de

replicación en otro CPD

Documentar

● En caso de desastre, que tu abuela

sepa restaurar el servicio

● No pensar, actuar!
● Probar periódicamente a restaurar

○ Se comprueba que funciona
○ Se entrena al técnico

Bastionado de RED

Segmentación - DMZ

● Separación de redes

○ Red interna de usuarios
○ Servidores de uso interno
○ Servidores con servicio al exterior

Segmentación - DMZ

Segmentación - DMZ

● Reglas de Firewall

○ Desde exterior a DMZ EXT, permitir
○ Desde exterior a DMZ INT, denegar
○ Desde DMZ EXT a DMZ INT, denegar
○ Desde DMZ EXT a exterior, denegar
○ Desde DMZ INT a DMZ EXT, denegar
○ Desde DMZ INT a exterior, denegar

Otros dispositivos

● IDS - IPS

● Load Balancers

● Proxy

● HoneyPot

¿PREGUNTAS?

¡GRACIAS!

www.securityartwork.es
@BufferOverCat