Bastionado de sistemas LinuxJose Luis Chica

¿De qué !$%=& va esto?

● Identificar los riesgos que vamos a enfrentarnos como sysadmins

● Mostrar recomendaciones● Implantar según necesidades

~$ whois ponente

● Ing. Técnico en Informática de Gestión por la UMU

● Security Engineer en S2 Grupo● Miembro del Centro de Seguridad TIC de

la Comunidad Valenciana (CSIRT-cv)● Asiduo de las MLP ;)

CSIRT-cv

● Boletines, RSS de fabricantes● Noticias diarias● Cursos online gratuitos, guías, campañas

de concienciación● Informes de phising. Mándanos!● Twitter: @csirtcv● FB: www.facebook.com/csirtcv

Bastionado!

● Aplicado al equipo

● Aplicado a la red

Defensa en profundidad

● Medidas de seguridad en varias capas● Contención en caso de que una caiga

Bastionado de HOST

Reglas básicas

● Minimizar la superficie de ataque● Controlar accesos● Monitorizar● Copias de seguridad

Instalar sistema mínimo

● Quitar compiladores, X, herramientas de desarrollo...

● Más estable● Menos propenso a fallos

Actualizado● Actualizaciones arreglan bugs

● Y vulnerabilidades!

● No sirve la excusa “no está conectado directamente a internet”·

Actualizado● Necesario pruebas en pre antes de

aplicar parches

● Útil sistemas virtualizados

● Snapshot, parcheo, vuelta atrás si no funciona

Servicios deshabilitados

● Si no se necesita, páralo

● Si no sabes si lo necesitas, páralo, y observa si algo explota ;)

Aislarse del resto● Idealmente, un host, un servicio

● Reglas de firewall para evitar:○ Conexiones del resto de DMZ○ Conexiones entrantes de otras redes○ Conexiones salientes

Seguridad física

● Protección de la BIOS

● Protección del GRUB

● Acceso al rack

Seguridad del kernel

● Contramedidas ante exploits

● PAX, SELinux, AppArmor

NTP

● Sincronización de todos los timestamp

● Para la correlación y análisis de logs, se agradece

CONTROL DE ACCESO

● No permitir accesos como root○ Alternativa, uso de clave pública

entre equipos

● Cambiar puerto por defecto

SUDO

● Uso de comandos como administrador sin necesidad de conocer el password

● Da permisos a comandos concretos

● Se registra todo

Otros

● Cuota de disco● Política de contraseñas● Permisos de usuario y grupo● Usar VPN para accesos a redes

MONITORIZACIÓN

● Imprescindible controlar el estado de los dispositivos

● Luchar contra la entropía○ Si el medio cambia, nosotros también

Servidor de syslog

● Se guardan los logs en lugar seguro○ Protegido de modificaciones ilícitas

en caso de incidente○ Recomendado firma y timestamp

● Análisis de log y correlación○ Acceso a las 5am?

Disponibilidad

● Control del estado del equipo/servicio

● Capacidad de actuación inmediata en caso de caída de servicio

Control de integridad

● Monitorización de cambios en ficheros críticos

● AntiRootkits

Auditorías periódicas

● Vulnerabilidades

● Revisiones y propuestas de mejora

COPIA - REPLICACIÓN

● Incidentes pasan, A TODOS!○ Intrusiones○ Discos duros muertos○ Caídas de red

● ¿Cuánto costaría una hora sin servicio?● ¿Cuánto costaría haberlo evitado?

Copias de seguridad

● Activos críticos

○ BBDD○ Archivos de configuración○ Documentos

Replicación

● Copias a otro CPD

● Descentralización de infraestructura○ En caso de caída, posibilidad de

replicación en otro CPD

Documentar

● En caso de desastre, que tu abuela sepa restaurar el servicio

● No pensar, actuar!● Probar periódicamente a restaurar

○ Se comprueba que funciona○ Se entrena al técnico

Bastionado de RED

Segmentación - DMZ

● Separación de redes

○ Red interna de usuarios○ Servidores de uso interno○ Servidores con servicio al exterior

Segmentación - DMZ

Segmentación - DMZ

● Reglas de Firewall○ Desde exterior a DMZ EXT, permitir○ Desde exterior a DMZ INT, denegar○ Desde DMZ EXT a DMZ INT, denegar○ Desde DMZ EXT a exterior, denegar○ Desde DMZ INT a DMZ EXT, denegar○ Desde DMZ INT a exterior, denegar

Otros dispositivos

● IDS - IPS

● Load Balancers

● Proxy

● HoneyPot

¿PREGUNTAS?

¡GRACIAS!www.securityartwork.es

@BufferOverCat