Bastionado de sistemas Linux - Neuronas Digitales · Bastionado de HOST. Reglas básicas Minimizar...
Transcript of Bastionado de sistemas Linux - Neuronas Digitales · Bastionado de HOST. Reglas básicas Minimizar...
![Page 1: Bastionado de sistemas Linux - Neuronas Digitales · Bastionado de HOST. Reglas básicas Minimizar la superficie de ataque Controlar accesos Monitorizar Copias de seguridad. ... Red](https://reader033.fdocuments.mx/reader033/viewer/2022052023/6039285485d7a91760537198/html5/thumbnails/1.jpg)
Bastionado de sistemas LinuxJose Luis Chica
![Page 2: Bastionado de sistemas Linux - Neuronas Digitales · Bastionado de HOST. Reglas básicas Minimizar la superficie de ataque Controlar accesos Monitorizar Copias de seguridad. ... Red](https://reader033.fdocuments.mx/reader033/viewer/2022052023/6039285485d7a91760537198/html5/thumbnails/2.jpg)
¿De qué !$%=& va esto?
● Identificar los riesgos que vamos a enfrentarnos como sysadmins
● Mostrar recomendaciones● Implantar según necesidades
![Page 3: Bastionado de sistemas Linux - Neuronas Digitales · Bastionado de HOST. Reglas básicas Minimizar la superficie de ataque Controlar accesos Monitorizar Copias de seguridad. ... Red](https://reader033.fdocuments.mx/reader033/viewer/2022052023/6039285485d7a91760537198/html5/thumbnails/3.jpg)
~$ whois ponente
● Ing. Técnico en Informática de Gestión por la UMU
● Security Engineer en S2 Grupo● Miembro del Centro de Seguridad TIC de
la Comunidad Valenciana (CSIRT-cv)● Asiduo de las MLP ;)
![Page 4: Bastionado de sistemas Linux - Neuronas Digitales · Bastionado de HOST. Reglas básicas Minimizar la superficie de ataque Controlar accesos Monitorizar Copias de seguridad. ... Red](https://reader033.fdocuments.mx/reader033/viewer/2022052023/6039285485d7a91760537198/html5/thumbnails/4.jpg)
CSIRT-cv
● Boletines, RSS de fabricantes● Noticias diarias● Cursos online gratuitos, guías, campañas
de concienciación● Informes de phising. Mándanos!● Twitter: @csirtcv● FB: www.facebook.com/csirtcv
![Page 5: Bastionado de sistemas Linux - Neuronas Digitales · Bastionado de HOST. Reglas básicas Minimizar la superficie de ataque Controlar accesos Monitorizar Copias de seguridad. ... Red](https://reader033.fdocuments.mx/reader033/viewer/2022052023/6039285485d7a91760537198/html5/thumbnails/5.jpg)
Bastionado!
● Aplicado al equipo
● Aplicado a la red
![Page 6: Bastionado de sistemas Linux - Neuronas Digitales · Bastionado de HOST. Reglas básicas Minimizar la superficie de ataque Controlar accesos Monitorizar Copias de seguridad. ... Red](https://reader033.fdocuments.mx/reader033/viewer/2022052023/6039285485d7a91760537198/html5/thumbnails/6.jpg)
Defensa en profundidad
● Medidas de seguridad en varias capas● Contención en caso de que una caiga
![Page 7: Bastionado de sistemas Linux - Neuronas Digitales · Bastionado de HOST. Reglas básicas Minimizar la superficie de ataque Controlar accesos Monitorizar Copias de seguridad. ... Red](https://reader033.fdocuments.mx/reader033/viewer/2022052023/6039285485d7a91760537198/html5/thumbnails/7.jpg)
Bastionado de HOST
![Page 8: Bastionado de sistemas Linux - Neuronas Digitales · Bastionado de HOST. Reglas básicas Minimizar la superficie de ataque Controlar accesos Monitorizar Copias de seguridad. ... Red](https://reader033.fdocuments.mx/reader033/viewer/2022052023/6039285485d7a91760537198/html5/thumbnails/8.jpg)
Reglas básicas
● Minimizar la superficie de ataque● Controlar accesos● Monitorizar● Copias de seguridad
![Page 9: Bastionado de sistemas Linux - Neuronas Digitales · Bastionado de HOST. Reglas básicas Minimizar la superficie de ataque Controlar accesos Monitorizar Copias de seguridad. ... Red](https://reader033.fdocuments.mx/reader033/viewer/2022052023/6039285485d7a91760537198/html5/thumbnails/9.jpg)
Instalar sistema mínimo
● Quitar compiladores, X, herramientas de desarrollo...
● Más estable● Menos propenso a fallos
![Page 10: Bastionado de sistemas Linux - Neuronas Digitales · Bastionado de HOST. Reglas básicas Minimizar la superficie de ataque Controlar accesos Monitorizar Copias de seguridad. ... Red](https://reader033.fdocuments.mx/reader033/viewer/2022052023/6039285485d7a91760537198/html5/thumbnails/10.jpg)
Actualizado● Actualizaciones arreglan bugs
● Y vulnerabilidades!
● No sirve la excusa “no está conectado directamente a internet”·
![Page 11: Bastionado de sistemas Linux - Neuronas Digitales · Bastionado de HOST. Reglas básicas Minimizar la superficie de ataque Controlar accesos Monitorizar Copias de seguridad. ... Red](https://reader033.fdocuments.mx/reader033/viewer/2022052023/6039285485d7a91760537198/html5/thumbnails/11.jpg)
Actualizado● Necesario pruebas en pre antes de
aplicar parches
● Útil sistemas virtualizados
● Snapshot, parcheo, vuelta atrás si no funciona
![Page 12: Bastionado de sistemas Linux - Neuronas Digitales · Bastionado de HOST. Reglas básicas Minimizar la superficie de ataque Controlar accesos Monitorizar Copias de seguridad. ... Red](https://reader033.fdocuments.mx/reader033/viewer/2022052023/6039285485d7a91760537198/html5/thumbnails/12.jpg)
Servicios deshabilitados
● Si no se necesita, páralo
● Si no sabes si lo necesitas, páralo, y observa si algo explota ;)
![Page 13: Bastionado de sistemas Linux - Neuronas Digitales · Bastionado de HOST. Reglas básicas Minimizar la superficie de ataque Controlar accesos Monitorizar Copias de seguridad. ... Red](https://reader033.fdocuments.mx/reader033/viewer/2022052023/6039285485d7a91760537198/html5/thumbnails/13.jpg)
Aislarse del resto● Idealmente, un host, un servicio
● Reglas de firewall para evitar:○ Conexiones del resto de DMZ○ Conexiones entrantes de otras redes○ Conexiones salientes
![Page 14: Bastionado de sistemas Linux - Neuronas Digitales · Bastionado de HOST. Reglas básicas Minimizar la superficie de ataque Controlar accesos Monitorizar Copias de seguridad. ... Red](https://reader033.fdocuments.mx/reader033/viewer/2022052023/6039285485d7a91760537198/html5/thumbnails/14.jpg)
Seguridad física
● Protección de la BIOS
● Protección del GRUB
● Acceso al rack
![Page 15: Bastionado de sistemas Linux - Neuronas Digitales · Bastionado de HOST. Reglas básicas Minimizar la superficie de ataque Controlar accesos Monitorizar Copias de seguridad. ... Red](https://reader033.fdocuments.mx/reader033/viewer/2022052023/6039285485d7a91760537198/html5/thumbnails/15.jpg)
Seguridad del kernel
● Contramedidas ante exploits
● PAX, SELinux, AppArmor
![Page 16: Bastionado de sistemas Linux - Neuronas Digitales · Bastionado de HOST. Reglas básicas Minimizar la superficie de ataque Controlar accesos Monitorizar Copias de seguridad. ... Red](https://reader033.fdocuments.mx/reader033/viewer/2022052023/6039285485d7a91760537198/html5/thumbnails/16.jpg)
NTP
● Sincronización de todos los timestamp
● Para la correlación y análisis de logs, se agradece
![Page 17: Bastionado de sistemas Linux - Neuronas Digitales · Bastionado de HOST. Reglas básicas Minimizar la superficie de ataque Controlar accesos Monitorizar Copias de seguridad. ... Red](https://reader033.fdocuments.mx/reader033/viewer/2022052023/6039285485d7a91760537198/html5/thumbnails/17.jpg)
CONTROL DE ACCESO
● No permitir accesos como root○ Alternativa, uso de clave pública
entre equipos
● Cambiar puerto por defecto
![Page 18: Bastionado de sistemas Linux - Neuronas Digitales · Bastionado de HOST. Reglas básicas Minimizar la superficie de ataque Controlar accesos Monitorizar Copias de seguridad. ... Red](https://reader033.fdocuments.mx/reader033/viewer/2022052023/6039285485d7a91760537198/html5/thumbnails/18.jpg)
SUDO
● Uso de comandos como administrador sin necesidad de conocer el password
● Da permisos a comandos concretos
● Se registra todo
![Page 19: Bastionado de sistemas Linux - Neuronas Digitales · Bastionado de HOST. Reglas básicas Minimizar la superficie de ataque Controlar accesos Monitorizar Copias de seguridad. ... Red](https://reader033.fdocuments.mx/reader033/viewer/2022052023/6039285485d7a91760537198/html5/thumbnails/19.jpg)
Otros
● Cuota de disco● Política de contraseñas● Permisos de usuario y grupo● Usar VPN para accesos a redes
![Page 20: Bastionado de sistemas Linux - Neuronas Digitales · Bastionado de HOST. Reglas básicas Minimizar la superficie de ataque Controlar accesos Monitorizar Copias de seguridad. ... Red](https://reader033.fdocuments.mx/reader033/viewer/2022052023/6039285485d7a91760537198/html5/thumbnails/20.jpg)
MONITORIZACIÓN
● Imprescindible controlar el estado de los dispositivos
● Luchar contra la entropía○ Si el medio cambia, nosotros también
![Page 21: Bastionado de sistemas Linux - Neuronas Digitales · Bastionado de HOST. Reglas básicas Minimizar la superficie de ataque Controlar accesos Monitorizar Copias de seguridad. ... Red](https://reader033.fdocuments.mx/reader033/viewer/2022052023/6039285485d7a91760537198/html5/thumbnails/21.jpg)
Servidor de syslog
● Se guardan los logs en lugar seguro○ Protegido de modificaciones ilícitas
en caso de incidente○ Recomendado firma y timestamp
● Análisis de log y correlación○ Acceso a las 5am?
![Page 22: Bastionado de sistemas Linux - Neuronas Digitales · Bastionado de HOST. Reglas básicas Minimizar la superficie de ataque Controlar accesos Monitorizar Copias de seguridad. ... Red](https://reader033.fdocuments.mx/reader033/viewer/2022052023/6039285485d7a91760537198/html5/thumbnails/22.jpg)
Disponibilidad
● Control del estado del equipo/servicio
● Capacidad de actuación inmediata en caso de caída de servicio
![Page 23: Bastionado de sistemas Linux - Neuronas Digitales · Bastionado de HOST. Reglas básicas Minimizar la superficie de ataque Controlar accesos Monitorizar Copias de seguridad. ... Red](https://reader033.fdocuments.mx/reader033/viewer/2022052023/6039285485d7a91760537198/html5/thumbnails/23.jpg)
Control de integridad
● Monitorización de cambios en ficheros críticos
● AntiRootkits
![Page 24: Bastionado de sistemas Linux - Neuronas Digitales · Bastionado de HOST. Reglas básicas Minimizar la superficie de ataque Controlar accesos Monitorizar Copias de seguridad. ... Red](https://reader033.fdocuments.mx/reader033/viewer/2022052023/6039285485d7a91760537198/html5/thumbnails/24.jpg)
Auditorías periódicas
● Vulnerabilidades
● Revisiones y propuestas de mejora
![Page 25: Bastionado de sistemas Linux - Neuronas Digitales · Bastionado de HOST. Reglas básicas Minimizar la superficie de ataque Controlar accesos Monitorizar Copias de seguridad. ... Red](https://reader033.fdocuments.mx/reader033/viewer/2022052023/6039285485d7a91760537198/html5/thumbnails/25.jpg)
COPIA - REPLICACIÓN
● Incidentes pasan, A TODOS!○ Intrusiones○ Discos duros muertos○ Caídas de red
● ¿Cuánto costaría una hora sin servicio?● ¿Cuánto costaría haberlo evitado?
![Page 26: Bastionado de sistemas Linux - Neuronas Digitales · Bastionado de HOST. Reglas básicas Minimizar la superficie de ataque Controlar accesos Monitorizar Copias de seguridad. ... Red](https://reader033.fdocuments.mx/reader033/viewer/2022052023/6039285485d7a91760537198/html5/thumbnails/26.jpg)
Copias de seguridad
● Activos críticos
○ BBDD○ Archivos de configuración○ Documentos
![Page 27: Bastionado de sistemas Linux - Neuronas Digitales · Bastionado de HOST. Reglas básicas Minimizar la superficie de ataque Controlar accesos Monitorizar Copias de seguridad. ... Red](https://reader033.fdocuments.mx/reader033/viewer/2022052023/6039285485d7a91760537198/html5/thumbnails/27.jpg)
Replicación
● Copias a otro CPD
● Descentralización de infraestructura○ En caso de caída, posibilidad de
replicación en otro CPD
![Page 28: Bastionado de sistemas Linux - Neuronas Digitales · Bastionado de HOST. Reglas básicas Minimizar la superficie de ataque Controlar accesos Monitorizar Copias de seguridad. ... Red](https://reader033.fdocuments.mx/reader033/viewer/2022052023/6039285485d7a91760537198/html5/thumbnails/28.jpg)
Documentar
● En caso de desastre, que tu abuela sepa restaurar el servicio
● No pensar, actuar!● Probar periódicamente a restaurar
○ Se comprueba que funciona○ Se entrena al técnico
![Page 29: Bastionado de sistemas Linux - Neuronas Digitales · Bastionado de HOST. Reglas básicas Minimizar la superficie de ataque Controlar accesos Monitorizar Copias de seguridad. ... Red](https://reader033.fdocuments.mx/reader033/viewer/2022052023/6039285485d7a91760537198/html5/thumbnails/29.jpg)
Bastionado de RED
![Page 30: Bastionado de sistemas Linux - Neuronas Digitales · Bastionado de HOST. Reglas básicas Minimizar la superficie de ataque Controlar accesos Monitorizar Copias de seguridad. ... Red](https://reader033.fdocuments.mx/reader033/viewer/2022052023/6039285485d7a91760537198/html5/thumbnails/30.jpg)
Segmentación - DMZ
● Separación de redes
○ Red interna de usuarios○ Servidores de uso interno○ Servidores con servicio al exterior
![Page 31: Bastionado de sistemas Linux - Neuronas Digitales · Bastionado de HOST. Reglas básicas Minimizar la superficie de ataque Controlar accesos Monitorizar Copias de seguridad. ... Red](https://reader033.fdocuments.mx/reader033/viewer/2022052023/6039285485d7a91760537198/html5/thumbnails/31.jpg)
Segmentación - DMZ
![Page 32: Bastionado de sistemas Linux - Neuronas Digitales · Bastionado de HOST. Reglas básicas Minimizar la superficie de ataque Controlar accesos Monitorizar Copias de seguridad. ... Red](https://reader033.fdocuments.mx/reader033/viewer/2022052023/6039285485d7a91760537198/html5/thumbnails/32.jpg)
Segmentación - DMZ
● Reglas de Firewall○ Desde exterior a DMZ EXT, permitir○ Desde exterior a DMZ INT, denegar○ Desde DMZ EXT a DMZ INT, denegar○ Desde DMZ EXT a exterior, denegar○ Desde DMZ INT a DMZ EXT, denegar○ Desde DMZ INT a exterior, denegar
![Page 33: Bastionado de sistemas Linux - Neuronas Digitales · Bastionado de HOST. Reglas básicas Minimizar la superficie de ataque Controlar accesos Monitorizar Copias de seguridad. ... Red](https://reader033.fdocuments.mx/reader033/viewer/2022052023/6039285485d7a91760537198/html5/thumbnails/33.jpg)
Otros dispositivos
● IDS - IPS
● Load Balancers
● Proxy
● HoneyPot
![Page 34: Bastionado de sistemas Linux - Neuronas Digitales · Bastionado de HOST. Reglas básicas Minimizar la superficie de ataque Controlar accesos Monitorizar Copias de seguridad. ... Red](https://reader033.fdocuments.mx/reader033/viewer/2022052023/6039285485d7a91760537198/html5/thumbnails/34.jpg)
¿PREGUNTAS?
![Page 35: Bastionado de sistemas Linux - Neuronas Digitales · Bastionado de HOST. Reglas básicas Minimizar la superficie de ataque Controlar accesos Monitorizar Copias de seguridad. ... Red](https://reader033.fdocuments.mx/reader033/viewer/2022052023/6039285485d7a91760537198/html5/thumbnails/35.jpg)
¡GRACIAS!www.securityartwork.es
@BufferOverCat