Bastionado de sistemas Linux Jose Luis Chica
De qué!$%=& va esto? Identificar los riesgos que vamos a enfrentarnos como sysadmins Mostrar recomendaciones Implantar según necesidades
~$ whois ponente Ing. Técnico en Informática de Gestión por la UMU Security Engineer en S2 Grupo Miembro del Centro de Seguridad TIC de la Comunidad Valenciana (CSIRT-cv) Asiduo de las MLP ;)
CSIRT-cv Boletines, RSS de fabricantes Noticias diarias Cursos online gratuitos, guías, campañas de concienciación Informes de phising. Mándanos! Twitter: @csirtcv FB: www.facebook.com/csirtcv
Bastionado! Aplicado al equipo Aplicado a la red
Defensa en profundidad Medidas de seguridad en varias capas Contención en caso de que una caiga
Bastionado de HOST
Reglas básicas Minimizar la superficie de ataque Controlar accesos Monitorizar Copias de seguridad
Instalar sistema mínimo Quitar compiladores, X, herramientas de desarrollo... Más estable Menos propenso a fallos
Actualizado Actualizaciones arreglan bugs Y vulnerabilidades! No sirve la excusa no está conectado directamente a internet
Actualizado Necesario pruebas en pre antes de aplicar parches Útil sistemas virtualizados Snapshot, parcheo, vuelta atrás si no funciona
Servicios deshabilitados Si no se necesita, páralo Si no sabes si lo necesitas, páralo, y observa si algo explota ;)
Aislarse del resto Idealmente, un host, un servicio Reglas de firewall para evitar: Conexiones del resto de DMZ Conexiones entrantes de otras redes Conexiones salientes
Seguridad física Protección de la BIOS Protección del GRUB Acceso al rack
Seguridad del kernel Contramedidas ante exploits PAX, SELinux, AppArmor
NTP Sincronización de todos los timestamp Para la correlación y análisis de logs, se agradece
CONTROL DE ACCESO No permitir accesos como root Alternativa, uso de clave pública entre equipos Cambiar puerto por defecto
SUDO Uso de comandos como administrador sin necesidad de conocer el password Da permisos a comandos concretos Se registra todo
Otros Cuota de disco Política de contraseñas Permisos de usuario y grupo Usar VPN para accesos a redes
MONITORIZACIÓN Imprescindible controlar el estado de los dispositivos Luchar contra la entropía Si el medio cambia, nosotros también
Servidor de syslog Se guardan los logs en lugar seguro Protegido de modificaciones ilícitas en caso de incidente Recomendado firma y timestamp Análisis de log y correlación Acceso a las 5am?
Disponibilidad Control del estado del equipo/servicio Capacidad de actuación inmediata en caso de caída de servicio
Control de integridad Monitorización de cambios en ficheros críticos AntiRootkits
Auditorías periódicas Vulnerabilidades Revisiones y propuestas de mejora
COPIA - REPLICACIÓN Incidentes pasan, A TODOS! Intrusiones Discos duros muertos Caídas de red Cuánto costaría una hora sin servicio? Cuánto costaría haberlo evitado?
Copias de seguridad Activos críticos BBDD Archivos de configuración Documentos
Replicación Copias a otro CPD Descentralización de infraestructura En caso de caída, posibilidad de replicación en otro CPD
Documentar En caso de desastre, que tu abuela sepa restaurar el servicio No pensar, actuar! Probar periódicamente a restaurar Se comprueba que funciona Se entrena al técnico
Bastionado de RED
Segmentación - DMZ Separación de redes Red interna de usuarios Servidores de uso interno Servidores con servicio al exterior
Segmentación - DMZ
Segmentación - DMZ Reglas de Firewall Desde exterior a DMZ EXT, permitir Desde exterior a DMZ INT, denegar Desde DMZ EXT a DMZ INT, denegar Desde DMZ EXT a exterior, denegar Desde DMZ INT a DMZ EXT, denegar Desde DMZ INT a exterior, denegar
Otros dispositivos IDS - IPS Load Balancers Proxy HoneyPot
PREGUNTAS?
GRACIAS! www.securityartwork.es @BufferOverCat