bastionado de sistemas linux - neuronas digitales · bastionado de host. reglas básicas minimizar...
Post on 08-Oct-2020
5 Views
Preview:
TRANSCRIPT
Bastionado de sistemas LinuxJose Luis Chica
¿De qué !$%=& va esto?
● Identificar los riesgos que vamos a enfrentarnos como sysadmins
● Mostrar recomendaciones● Implantar según necesidades
~$ whois ponente
● Ing. Técnico en Informática de Gestión por la UMU
● Security Engineer en S2 Grupo● Miembro del Centro de Seguridad TIC de
la Comunidad Valenciana (CSIRT-cv)● Asiduo de las MLP ;)
CSIRT-cv
● Boletines, RSS de fabricantes● Noticias diarias● Cursos online gratuitos, guías, campañas
de concienciación● Informes de phising. Mándanos!● Twitter: @csirtcv● FB: www.facebook.com/csirtcv
Bastionado!
● Aplicado al equipo
● Aplicado a la red
Defensa en profundidad
● Medidas de seguridad en varias capas● Contención en caso de que una caiga
Bastionado de HOST
Reglas básicas
● Minimizar la superficie de ataque● Controlar accesos● Monitorizar● Copias de seguridad
Instalar sistema mínimo
● Quitar compiladores, X, herramientas de desarrollo...
● Más estable● Menos propenso a fallos
Actualizado● Actualizaciones arreglan bugs
● Y vulnerabilidades!
● No sirve la excusa “no está conectado directamente a internet”·
Actualizado● Necesario pruebas en pre antes de
aplicar parches
● Útil sistemas virtualizados
● Snapshot, parcheo, vuelta atrás si no funciona
Servicios deshabilitados
● Si no se necesita, páralo
● Si no sabes si lo necesitas, páralo, y observa si algo explota ;)
Aislarse del resto● Idealmente, un host, un servicio
● Reglas de firewall para evitar:○ Conexiones del resto de DMZ○ Conexiones entrantes de otras redes○ Conexiones salientes
Seguridad física
● Protección de la BIOS
● Protección del GRUB
● Acceso al rack
Seguridad del kernel
● Contramedidas ante exploits
● PAX, SELinux, AppArmor
NTP
● Sincronización de todos los timestamp
● Para la correlación y análisis de logs, se agradece
CONTROL DE ACCESO
● No permitir accesos como root○ Alternativa, uso de clave pública
entre equipos
● Cambiar puerto por defecto
SUDO
● Uso de comandos como administrador sin necesidad de conocer el password
● Da permisos a comandos concretos
● Se registra todo
Otros
● Cuota de disco● Política de contraseñas● Permisos de usuario y grupo● Usar VPN para accesos a redes
MONITORIZACIÓN
● Imprescindible controlar el estado de los dispositivos
● Luchar contra la entropía○ Si el medio cambia, nosotros también
Servidor de syslog
● Se guardan los logs en lugar seguro○ Protegido de modificaciones ilícitas
en caso de incidente○ Recomendado firma y timestamp
● Análisis de log y correlación○ Acceso a las 5am?
Disponibilidad
● Control del estado del equipo/servicio
● Capacidad de actuación inmediata en caso de caída de servicio
Control de integridad
● Monitorización de cambios en ficheros críticos
● AntiRootkits
Auditorías periódicas
● Vulnerabilidades
● Revisiones y propuestas de mejora
COPIA - REPLICACIÓN
● Incidentes pasan, A TODOS!○ Intrusiones○ Discos duros muertos○ Caídas de red
● ¿Cuánto costaría una hora sin servicio?● ¿Cuánto costaría haberlo evitado?
Copias de seguridad
● Activos críticos
○ BBDD○ Archivos de configuración○ Documentos
Replicación
● Copias a otro CPD
● Descentralización de infraestructura○ En caso de caída, posibilidad de
replicación en otro CPD
Documentar
● En caso de desastre, que tu abuela sepa restaurar el servicio
● No pensar, actuar!● Probar periódicamente a restaurar
○ Se comprueba que funciona○ Se entrena al técnico
Bastionado de RED
Segmentación - DMZ
● Separación de redes
○ Red interna de usuarios○ Servidores de uso interno○ Servidores con servicio al exterior
Segmentación - DMZ
Segmentación - DMZ
● Reglas de Firewall○ Desde exterior a DMZ EXT, permitir○ Desde exterior a DMZ INT, denegar○ Desde DMZ EXT a DMZ INT, denegar○ Desde DMZ EXT a exterior, denegar○ Desde DMZ INT a DMZ EXT, denegar○ Desde DMZ INT a exterior, denegar
Otros dispositivos
● IDS - IPS
● Load Balancers
● Proxy
● HoneyPot
¿PREGUNTAS?
¡GRACIAS!www.securityartwork.es
@BufferOverCat
top related