Bastionado de sistemas Linux. Jose Luis Chica

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Bastionado de sistemas Linux. Jose Luis Chica"

Xavier Castellanos Ayala
hace 8 años
Vistas:

1 Bastionado de sistemas Linux Jose Luis Chica

2 De qué!$%=& va esto? Identificar los riesgos que vamos a enfrentarnos como sysadmins Mostrar recomendaciones Implantar según necesidades

3 ~$ whois ponente Ing. Técnico en Informática de Gestión por la UMU Security Engineer en S2 Grupo Miembro del Centro de Seguridad TIC de la Comunidad Valenciana (CSIRT-cv) Asiduo de las MLP ;)

4 CSIRT-cv Boletines, RSS de fabricantes Noticias diarias Cursos online gratuitos, guías, campañas de concienciación Informes de phising. Mándanos! FB:

5 Bastionado! Aplicado al equipo Aplicado a la red

6 Defensa en profundidad Medidas de seguridad en varias capas Contención en caso de que una caiga

7 Bastionado de HOST

8 Reglas básicas Minimizar la superficie de ataque Controlar accesos Monitorizar Copias de seguridad

9 Instalar sistema mínimo Quitar compiladores, X, herramientas de desarrollo... Más estable Menos propenso a fallos

10 Actualizado Actualizaciones arreglan bugs Y vulnerabilidades! No sirve la excusa no está conectado directamente a internet

11 Actualizado Necesario pruebas en pre antes de aplicar parches Útil sistemas virtualizados Snapshot, parcheo, vuelta atrás si no funciona

12 Servicios deshabilitados Si no se necesita, páralo Si no sabes si lo necesitas, páralo, y observa si algo explota ;)

13 Aislarse del resto Idealmente, un host, un servicio Reglas de firewall para evitar: Conexiones del resto de DMZ Conexiones entrantes de otras redes Conexiones salientes

14 Seguridad física Protección de la BIOS Protección del GRUB Acceso al rack

15 Seguridad del kernel Contramedidas ante exploits PAX, SELinux, AppArmor

16 NTP Sincronización de todos los timestamp Para la correlación y análisis de logs, se agradece

17 CONTROL DE ACCESO No permitir accesos como root Alternativa, uso de clave pública entre equipos Cambiar puerto por defecto

18 SUDO Uso de comandos como administrador sin necesidad de conocer el password Da permisos a comandos concretos Se registra todo

19 Otros Cuota de disco Política de contraseñas Permisos de usuario y grupo Usar VPN para accesos a redes

20 MONITORIZACIÓN Imprescindible controlar el estado de los dispositivos Luchar contra la entropía Si el medio cambia, nosotros también

21 Servidor de syslog Se guardan los logs en lugar seguro Protegido de modificaciones ilícitas en caso de incidente Recomendado firma y timestamp Análisis de log y correlación Acceso a las 5am?

22 Disponibilidad Control del estado del equipo/servicio Capacidad de actuación inmediata en caso de caída de servicio

23 Control de integridad Monitorización de cambios en ficheros críticos AntiRootkits

24 Auditorías periódicas Vulnerabilidades Revisiones y propuestas de mejora

25 COPIA - REPLICACIÓN Incidentes pasan, A TODOS! Intrusiones Discos duros muertos Caídas de red Cuánto costaría una hora sin servicio? Cuánto costaría haberlo evitado?

26 Copias de seguridad Activos críticos BBDD Archivos de configuración Documentos

27 Replicación Copias a otro CPD Descentralización de infraestructura En caso de caída, posibilidad de replicación en otro CPD

28 Documentar En caso de desastre, que tu abuela sepa restaurar el servicio No pensar, actuar! Probar periódicamente a restaurar Se comprueba que funciona Se entrena al técnico

29 Bastionado de RED

30 Segmentación - DMZ Separación de redes Red interna de usuarios Servidores de uso interno Servidores con servicio al exterior

31 Segmentación - DMZ

32 Segmentación - DMZ Reglas de Firewall Desde exterior a DMZ EXT, permitir Desde exterior a DMZ INT, denegar Desde DMZ EXT a DMZ INT, denegar Desde DMZ EXT a exterior, denegar Desde DMZ INT a DMZ EXT, denegar Desde DMZ INT a exterior, denegar

33 Otros dispositivos IDS - IPS Load Balancers Proxy HoneyPot

34 PREGUNTAS?

35 GRACIAS!

Documentos relacionados

Solicitud de conexión de servidores físicos y virtuales departamentales

Solicitud de conexión de servidores físicos y virtuales departamentales en la red corporativa de la UR Este documento contiene el procedimiento y la normativa general por la que los usuarios de la Universidad