Taller de Seguridad. Securizando un servidor. Daniel Marcos Martín GUL UC3M 04/03/2010

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Taller de Seguridad. Securizando un servidor. Daniel Marcos Martín GUL UC3M 04/03/2010"

Fernando Salinas Henríquez
hace 8 años
Vistas:

1 Taller de Seguridad Securizando un servidor Daniel Marcos Martín GUL UC3M 04/03/2010 Daniel Marcos Martín (GUL UC3M) Taller de Seguridad 04/03/ / 22

2 Parte I Introducción Daniel Marcos Martín (GUL UC3M) Taller de Seguridad 04/03/ / 22

3 Justificación Es necesario securizar una máquina? A quién le interesa mi máquina? Esfuerzo? Dinero? Número y tipo de ataques? Tipos de ataque Locales / Remotos Automáticos Poca cualificación (en general) Fáciles de defender Dirigidos Alta cualificación Más dificiles de defender Daniel Marcos Martín (GUL UC3M) Taller de Seguridad 04/03/ / 22

Tipos de ataque Locales / Remotos Automáticos Poca cualificación (en general) Fáciles

4 Introducción Pasos a seguir Diseño Actualización del sistema Reducción de la superficie de ataque Securización de las comunicaciones Protección frente a ataques locales Cuando todo falla Daniel Marcos Martín (GUL UC3M) Taller de Seguridad 04/03/ / 22

comunicaciones Protección frente a ataques locales Cuando todo

5 Parte II Diseño Daniel Marcos Martín (GUL UC3M) Taller de Seguridad 04/03/ / 22

6 Diseño Elección del sistema operativo Windows / Linux / FreeBSD Distribución Debian Ubuntu Fedora etc. Versión stable unstable testing Elección de los servicios Sólo los imprescindibles En qué máquina? Daniel Marcos Martín (GUL UC3M) Taller de Seguridad 04/03/ / 22

Versión stable unstable testing Elección de los servicios Sólo los

7 Parte III Actualización del sistema Daniel Marcos Martín (GUL UC3M) Taller de Seguridad 04/03/ / 22

8 Actualización del sistema Mantener el sistema actualizado Recibir notificaciones System-icon-notifier cron-apt Recibir correo cuando hay notificaciones Descarga actualizaciones Tarea programada Disponible en Debian (herramientas similares en otros sistemas) Mantenerse informado Contramedidas hasta que salga la actualización Listas de correo genéricas una-al-día full-disclosure Listas de correo específicas de cada distribución Daniel Marcos Martín (GUL UC3M) Taller de Seguridad 04/03/ / 22

otros sistemas) Mantenerse informado Contramedidas hasta que salga la actualización Listas de correo genéricas una-al-día

9 Parte IV Reducción de la superficie de ataque Daniel Marcos Martín (GUL UC3M) Taller de Seguridad 04/03/ / 22

10 Reducción de la superficie de ataque Servicios Procesos ejecutándose ps auxw Puertos abiertos netstat -nlp nmap, nessus cups, ip6tables Permisos Archivos con suid y sguid find / -type f $ -perm o -perm $ -exec ls -l {} \; Permisos en directorios rw para otros y todos find / -type d $ -perm -g+w -o -perm -o+w $ -not -perm -a+t -exec ls -lad {} \; Aplicaciones propias Daniel Marcos Martín (GUL UC3M) Taller de Seguridad 04/03/ / 22

$ls -l {} \; Permisos en directorios rw para otros y todos find / -type d $ -perm -g+w -o -perm -o+w $ -not$

11 Parte V Filtrado de las comunicaciones Daniel Marcos Martín (GUL UC3M) Taller de Seguridad 04/03/ / 22

12 Securización de las comunicaciones Cortafuegos Filtrar conexiones entrantes Filtrar conexiones salientes (troyanos) Evitar escaneo de puertos (router) Iptables Por defecto no permitir nada HTTP (apt-get), IMAP(cron-apt), etc. Interfaz gráfica para Iptables FireStarter UFW / GUFW Port Knocking Puertos cerrados Se abren los puertos con combinación Daniel Marcos Martín (GUL UC3M) Taller de Seguridad 04/03/ / 22

13 Securización de las comunicaciones IDS HIDS Snort Monitoriza las comunicaciones Reglas para filtrar/avisar Otra máquina, router (Linksys) Host Intrusion Detection System Monitorizar cambios en archivos importantes /etc/passwd Binarios del sistema Detectar ataques desde otros hosts (combinado con IDS) Controlar el uso de recursos Buscar troyanos, rootkits, etc. Guardar logs en servidor remoto Dificil proteger ataques via web shells en php Daniel Marcos Martín (GUL UC3M) Taller de Seguridad 04/03/ / 22

ataques desde otros hosts (combinado con IDS) Controlar el uso de recursos Buscar troyanos, rootkits, etc.

14 Parte VI Protección frente a ataques locales Daniel Marcos Martín (GUL UC3M) Taller de Seguridad 04/03/ / 22

15 Protección frente a ataques locales Protección frente a rootkits rkhunter rkhunter -c rkhunter -update chkrootkit Evitar elevación de privilegios Ninja Detecta cuando un proceso se ejecuta con permisos que no debería Whitelist Detecta cuando un proceso se ejecuta con uid de root Daniel Marcos Martín (GUL UC3M) Taller de Seguridad 04/03/ / 22

proceso se ejecuta con permisos que no debería Whitelist Detecta cuando un proceso se

16 Protección frente a ataques locales Entornos restringidos chroot Entorno restringido para los usuarios Apache, bases de datos, ftp Usuario restringido a su home No puede navegar por el sistema de archivos Daniel Marcos Martín (GUL UC3M) Taller de Seguridad 04/03/ / 22

Usuario restringido a su home No puede navegar por el sistema de

17 Parte VII Todo en uno Daniel Marcos Martín (GUL UC3M) Taller de Seguridad 04/03/ / 22

18 Todo en uno Bastille Securizar sistema entero Conjunto de scripts Configuración mediante diálogos SELinux Módulos de seguridad para el núcleo de Linux Daniel Marcos Martín (GUL UC3M) Taller de Seguridad 04/03/ / 22

Módulos de seguridad para el núcleo de Linux Daniel

19 Parte VIII Cuando todo falla Daniel Marcos Martín (GUL UC3M) Taller de Seguridad 04/03/ / 22

20 Cuando todo falla Logs En servidor remoto Si se guarda en local only append chattr +a /var/log/secure Análisis Forense Montar el sistema como sólo lectura Realizar copia del sistema atacado Analizar copia realizada Daniel Marcos Martín (GUL UC3M) Taller de Seguridad 04/03/ / 22

como sólo lectura Realizar copia del sistema atacado Analizar copia

21 Parte IX Referencias Daniel Marcos Martín (GUL UC3M) Taller de Seguridad 04/03/ / 22

22 Enlaces Referencias Daniel Marcos Martín (GUL UC3M) Taller de Seguridad 04/03/ / 22

Documentos relacionados

TEMARIO Y CRONOGRAMA DE CLASES. Introducción a Linux. Entornos gráficos. Instalación. Uso de consola. Manejo de archivos.

TEMARIO Y CRONOGRAMA DE CLASES Introducción a Linux. Entornos gráficos. Instalación. Uso de consola. Manejo de archivos. Estructura Unix y los Sistemas de Archivos. Editor VI. Shell Control de procesos.