Consejos de seguridad con Alfresco
Upcoming SlideShare
Loading in...5
×
 

Consejos de seguridad con Alfresco

on

  • 13,132 views

Cuanta más información almacenamos en Alfresco, más necesidades de protegerla tenemos. En este webinar haremos un repaso sobre los consejos de seguridad más importantes a tener en cuenta en ...

Cuanta más información almacenamos en Alfresco, más necesidades de protegerla tenemos. En este webinar haremos un repaso sobre los consejos de seguridad más importantes a tener en cuenta en Alfresco, tanto a nivel de aplicación como a nivel de servidor, red e intrusiones.

Statistics

Views

Total Views
13,132
Views on SlideShare
3,465
Embed Views
9,667

Actions

Likes
1
Downloads
167
Comments
0

12 Embeds 9,667

http://blyx.com 9609
http://translate.googleusercontent.com 11
http://www.blyx.es 11
http://blog.blyx.com 10
http://webcache.googleusercontent.com 7
http://blyx.es 7
http://www.linkedin.com 5
http://131.253.14.66 2
http://207.46.192.232 2
http://feedjit.com 1
http://131.253.14.250 1
http://www.slashdocs.com 1
More...

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Consejos de seguridad con Alfresco Consejos de seguridad con Alfresco Presentation Transcript

  • Consejos de seguridadcon AlfrescoToni de la FuenteSenior Solutions Engineertwitter: @ToniBlyx - blog: blyx.com
  • Contenidos•  Introducción•  Ciclo del proyecto y seguridad o  Planificación o  Instalación o  Configuración y fortificación o  Mantenimento o  Monitorización y auditoría•  Otras tareas relacionadas con la seguridad•  Conclusiones * No los vamos a cubrir en esta sesión
  • Introducción
  • Introducción•  ¿Por qué es importante la seguridad en Alfresco? o  Es importante si tus contenidos lo son.•  Si la caída de Alfresco te supone un problema económico para tu organización, la seguridad del mismo es importante.•  La seguridad es un proceso no un producto.•  Continuidad de las operaciones, protección, integridad, privacidad.•  Llevar al máximo el MTBF, garantizar el mínimo MTTR posible, contemplados en el Plan de Seguridad de la organización, Plan de contingencias y Plan de recuperación de desastres.
  • Ciclo del Proyecto y Seguridad
  • Planificación y análisis previo•  ¿Qué debo securizar? Depende… o  Necesidades del proyecto o  Interfaces o  Usuarios, aplicaciones o ambos o  Personalización o  Arquitectura, alta disponibilidad y escalabilidad Document Collaboration Web Content Records Email Management Management Management Archive ¿Interfaces? Número de…? Personalización?
  • Depende de la arquitectura de redB A Share Alfresco App Srv DataBase Content Index Store
  • Instalación
  • Buenas prácticas y recomendaciones 1/2•  Usar un usuario no “root” o  Configura todos los puertos por encima del 1024•  Evitar contraseñas por defecto (admin, db).•  Cambiar certificados y claves por defecto de SOLR. o  Usa keytool o tus propios certificados. o  installRoot/alf_data/solr/CreateSSLKeystores.txt•  Permisos de los ficheros de configuración, contentstore, índices y logs. Nadie salvo el usuario de la aplicación debe poder acceder. o  chown –R alfresco:alfresco installRoot/ o  chmod –R 600 installRoot/
  • Buenas prácticas y recomendaciones 2/2•  Antes de realizar la instalación usa Alfresco Environment Validation Tool para evitar servicios y/o puertos conflictivos.•  Activa SSL siempre que sea posible: o  No uses certificados autofirmados para producción. o  Comprueba la fortaleza del certificado en: •  https://www.ssllabs.com/ssldb/analyze.html•  Usa Apache (u otro) para proteger el servidor de aplicaciones y los servicios.•  En Linux puedes usar SELinux•  Cuando sea posible, usar el bundle para tener los binarios externos controlados y evitar una posible suplantación.
  • Configuración post instalación
  • ¿Qué puertos debo abrir y conocer? IN
  • ¿Qué puertos debo abrir y conocer? OUT* Habría que permitir el tráfico a XAM y a servicios remotosde Facebook, Twitter,LinkedIn, Slideshare, Youtube, Flickr o Blogs, en caso de usar el Publishing Framework.
  • Control y revisión•  Controla los procesos y los puertos que usa el sistema (Linux):# netstat -tulpn|grep -i java!!tcp 0 0 0.0.0.0:50500 0.0.0.0:* LISTEN 8591/javatcp 0 0 127.0.0.1:8005 0.0.0.0:* LISTEN 8591/javatcp 0 0 0.0.0.0:8009 0.0.0.0:* LISTEN 8591/javatcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 8591/javatcp 0 0 0.0.0.0:8080 0.0.0.0:* LISTEN 8591/javatcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 8591/javatcp 0 0 0.0.0.0:8443 0.0.0.0:* LISTEN 8591/javatcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN 8591/javatcp 0 0 0.0.0.0:7070 0.0.0.0:* LISTEN 8591/javaudp 0 0 0.0.0.0:137 0.0.0.0:* 8591/java
  • Activación de SSL para los servicios•  HTTP – HTTPS o  Appliance con soporte SSL offloading o  Activar HTTPS en el frontal Apache o  Activar HTTPS en Servidor de Aplicaciones•  FTP – FTPS o  Ver documentación oficial•  SharePoint (jetty) SSL o  Así evitarás problemas de los usuarios (MS Office) o  Ver documentación oficial•  SMTP – SMTPS: tanto IN como OUT•  IMAP y JGroups (workarounds)
  • Configuración post instalación•  Configuración de IPtables para redireccionar puertos inferiores a 1024: o  Ejemplo para FTP: •  iptables -t nat -A PREROUTING -p tcp --dport 21-j REDIRECT --to-ports 2121 o  http://wiki.alfresco.com/wiki/File_Server_Configuration•  Cambia las credenciales de JMX o  http://blyx.com/2011/12/20/persistencia-en-las- credenciales-jmx-de-alfresco/•  Asegúrate que los logs están donde tu quieres o  http://blyx.com/2011/06/02/consejos-sobre-los-logs-en- alfresco/
  • Configuración post instalación•  ¿Vas a usar autenticación externa? o  Cifra la comunicación entre Alfresco y el LDAP/AD o Sistema de SSO (usa el puerto 636 TCP para LDAPS)•  Desactiva los servicios que no necesites: o  ftp.enabled=false o  cifs.enabled=false o  imap.server.enabled=false o  nfs.enabled=false o  webdav: se desactiva comentando las opciones correspondientes en tomcat/webapps/alfresco/WEB-INF/ web.xml o  SharePoint: no instales el módulo si no lo necesitas.
  • Configuración post instalación•  Configuración de las copias de seguridad o  Backup Lucene 2 AM •  installRoot/alf_data/backup-lucene-indexes o  Backup SOLR 2AM Alfresco core y 4AM Archive core. •  installRoot/workspace-SpacesStore •  installRoot/archive-SpacesStore o  Backup SQL. o  Backup contentStore.•  Considera el uso de snapshots de LVM•  Recuerda que se pueden hacer backup de sitios con: o  http://code.google.com/p/share-import-export/•  Prueba la recuperación como medida preventiva de forma asidua y planificada.•  Incorpora el procedimiento comprobado de recuperación de Alfresco a tu plan de contingencia.•  Contempla usar Replication Service en el plan de recuperación de desastres.
  • Configuración post instalación•  Desactivar usuario invitado (Guest): o  Para NTLM-Default: •  alfresco.authentication.allowGuestLogin=false (true por defecto) o  Para pass-through: •  passthru.authentication.guestAccess=false (false por defecto) o  Para LDAP/AD: •  ldap.authentication.allowGuestLogin=false (true por defecto)•  Limitar el uso por usuarios y estado del repositorio: o  server.maxusers=-1 (-1 no limit) o  server.allowedusers=admin,toni,bill (vacio para todos) o  server.transaction.allow-writes=true (false para poner todo el sistema en solo lectura)
  • Configuración post instalación•  Desactivar papelera de reciclaje: o  Crear un fichero *-context.xml con el siguiente contenido: <bean id="storeArchiveMap" class="org.alfresco.repo.node.StoreArchiveMap">! <property name="archiveMap">! <map>! ! ! </map>! </property>! <property name="tenantService">! <ref bean="tenantService" />! </property>! </bean>!
  • Mantenimiento
  • Mantenimiento•  Revisión diaria de los log y registro de auditoría.•  Revisión diaria del backup.•  Borrado de los ficheros huérfanos, rotación de los logs, limpiado de temporales. o  Script en cron más info aquí: •  http://www.fegor.com/2011/08/mantenimiento- diario-de-alfresco.html
  • Monitorización y Auditoría
  • Monitorización y Auditoría•  JMX o  Jconsole o  VisualVM•  Hyperic o  http://blyx.com/2009/11/19/monitoring-alfresco- nagiosicinga-hyperic-auditsurf-jmx-rocks/•  Nagios/Icinga o  http://blyx.com/2009/11/19/monitoring-alfresco- nagiosicinga-hyperic-auditsurf-jmx-rocks/•  Javamelody o  http://blyx.com/2010/09/13/monitoring-alfresco-con- javamelody/•  AuditSurf
  • Monitorización y Auditoría• Auditoría de logins fallidos:audit.enabled=true
audit.tagging.enabled=true !audit.alfresco-access.enabled=true!audit.alfresco-access.sub-events.enabled=true !audit.cmischangelog.enabled=trueSaber que se está auditando:$ curl -u admin:adminhttp://localhost:8080/alfresco/service/api/audit/controlRenombrar: tomcat/shared/classes/alfresco/extension/audit/alfresco-audit-example-login.xml.sample$ curl -u admin:admin "http://localhost:8080/alfresco/service/api/audit/query/AuditExampleLogin1/auditexamplelogin1/login/error/user?verbose=true" !{! "count":5,! "entries": ! [ { "id":7,! "application":"AuditExampleLogin1",! "user":null,! "time":"2012-03-05T19:20:48.994+01:00",! "values":! { "/auditexamplelogin1/login/error/user":"toni"! } } !
  • Otras tareas relacionadas con laseguridad
  • Otras tareas o herramientasrelacionadas•  Evitar fugas de información mediante metadatos.•  Considera usar el nuevo tipo “d:encrypted”•  Añadir checksum a los contenidos•  Bloqueo de usuario tras fallos de autenticación•  Cambiar la ruta de visibilidad de webdav•  Timeout de sesión de Explorer y Webdav•  Timeout de sesión en Share•  Timeout de sesión en CIFS•  Poner CIFS y FTP en solo lectura.•  Más herramientas en “Alfresco Security Toolkit” en Google Code.•  Considerar usar un escaner de red para evitar almacenamiento de virus y troyanos.•  Mod_security para limitar el tamaño de ficheros a subir o interceptar contenidos.•  Filtra qué aplicaciones acceden a los servicios/API remotos
  • Conclusiones
  • Conclusiones•  Actualmente disponemos de herramientas para hacer de nuestra plataforma un sistema seguro.•  No debemos tomar estos consejos como una tarea aislada.•  Recuerda que la seguridad es un proceso continuo.•  Temas a tratar en futuros webinars: o  Seguridad y desarrollo. o  Auditoría. o  Usuarios, roles y permisos. o  Acegi. o  Creación de subsistemas de Autenticación (webinar realizado) o  SSO con CAS, Siteminder, OpenSSO, JoSSO, ForgeRock, Oracle Identity Manager, etc. o  Integración con PKI, firma digital, portafirmas, cifrado, etc.•  ¿Alguna idea?
  • ¿Preguntas?Toni de la Fuentetoni.delafuente@alfresco.comForo en español:http://forums.alfresco.com/es
  • Contacta con el equipo deAlfresco en Españahttp://www.alfresco.com/es/about/contact/ toni.delafuente@alfresco.com http://blyx.com Twitter: @ToniBlyx
  • The open platform forsocial content management.