SlideShare a Scribd company logo
1 of 35
Bastionado de sistemas
Linux
Jose Luis Chica
@BufferOverCat
¿De qué !$%=& va esto?

• Identificar los riesgos que vamos a
enfrentarnos como sysadmins
• Mostrar recomendaciones
• Implantar según necesidades
~$ whois ponente

• Ing. Técnico en Informática de Gestión
por la UMU
• Security Engineer en S2 Grupo
• Miembro del Centro de Seguridad TIC de
la Comunidad Valenciana (CSIRT-cv)
• Asiduo de las MLP ;)
CSIRT-cv

• Boletines, RSS de fabricantes
• Noticias diarias
• Cursos online gratuitos, guías, campañas
de concienciación
• Informes de phising. Mándanos!
• Twitter: @csirtcv
• FB: www.facebook.com/csirtcv
Bastionado!

• Aplicado al equipo
• Aplicado a la red
Defensa en profundidad

• Medidas de seguridad en varias capas
• Contención en caso de que una caiga
Bastionado de HOST
Reglas básicas

• Minimizar la superficie de ataque
• Controlar accesos
• Monitorizar
• Copias de seguridad
Instalar sistema mínimo

• Quitar compiladores, X, herramientas
de desarrollo...
• Más estable
• Menos propenso a fallos
Actualizado

• Actualizaciones arreglan bugs
• Y vulnerabilidades!
• No sirve la excusa “no está conectado
directamente a internet”·
Actualizado

• Necesario pruebas en pre antes de
aplicar parches

• Útil sistemas virtualizados
• Snapshot, parcheo, vuelta atrás si no
funciona
Servicios deshabilitados

• Si no se necesita, páralo
• Si no sabes si lo necesitas, páralo, y
observa si algo explota ;)
Aislarse del resto

• Idealmente, un host, un servicio
• Reglas de firewall para evitar:
o Conexiones del resto de DMZ
o Conexiones entrantes de otras redes
o Conexiones salientes
Seguridad física

• Protección de la BIOS
• Protección del GRUB
• Acceso al rack
Seguridad del kernel

• Contramedidas ante exploits
• PAX, SELinux, AppArmor
NTP

• Sincronización de todos los timestamp
• Para la correlación y análisis de logs,
se agradece
CONTROL DE ACCESO

• No permitir accesos como root

o Alternativa, uso de clave pública
entre equipos

• Cambiar puerto por defecto
SUDO

• Uso de comandos como administrador
sin necesidad de conocer el password

• Da permisos a comandos concretos
• Se registra todo
Otros

• Cuota de disco
• Política de contraseñas
• Permisos de usuario y grupo
• Usar VPN para accesos a redes
MONITORIZACIÓN

• Imprescindible controlar el estado de
los dispositivos

• Luchar contra la entropía
o Si el medio cambia, nosotros también
Servidor de syslog

• Se guardan los logs en lugar seguro
o Protegido de modificaciones ilícitas
en caso de incidente
o Recomendado firma y timestamp

• Análisis de log y correlación
o Acceso a las 5am?
Disponibilidad

• Control del estado del equipo/servicio
• Capacidad de actuación inmediata en
caso de caída de servicio
Control de integridad

• Monitorización de cambios en ficheros
críticos

• AntiRootkits
Auditorías periódicas

• Vulnerabilidades
• Revisiones y propuestas de mejora
COPIA - REPLICACIÓN

• Incidentes pasan, A TODOS!
o Intrusiones
o Discos duros muertos
o Caídas de red
● ¿Cuánto costaría una hora sin servicio?
● ¿Cuánto costaría haberlo evitado?
Copias de seguridad

• Activos críticos

o BBDD
o Archivos de configuración
o Documentos
Replicación

• Copias a otro CPD
• Descentralización de infraestructura
o En caso de caída, posibilidad de
replicación en otro CPD
Documentar

• En caso de desastre, que tu abuela
sepa restaurar el servicio
• No pensar, actuar!
• Probar periódicamente a restaurar
o Se comprueba que funciona
o Se entrena al técnico
Bastionado de RED
Segmentación - DMZ

• Separación de redes

o Red interna de usuarios
o Servidores de uso interno
o Servidores con servicio al exterior
Segmentación - DMZ
Segmentación - DMZ

• Reglas de Firewall
o
o
o
o
o
o

Desde exterior a DMZ EXT, permitir
Desde exterior a DMZ INT, denegar
Desde DMZ EXT a DMZ INT, denegar
Desde DMZ EXT a exterior, denegar
Desde DMZ INT a DMZ EXT, denegar
Desde DMZ INT a exterior, denegar
Otros dispositivos

• IDS - IPS
• Load Balancers
• Proxy
• HoneyPot
¿PREGUNTAS?
¡GRACIAS!
www.securityartwork.es

More Related Content

Viewers also liked

Viewers also liked (20)

Seminario iOS SIETCG (feb 2014)
Seminario iOS SIETCG (feb 2014)Seminario iOS SIETCG (feb 2014)
Seminario iOS SIETCG (feb 2014)
 
Facebook to whatsapp
Facebook to whatsappFacebook to whatsapp
Facebook to whatsapp
 
Sistema Opreativo IOS
Sistema Opreativo IOSSistema Opreativo IOS
Sistema Opreativo IOS
 
Presentacion segi seminario_yisell
Presentacion segi seminario_yisellPresentacion segi seminario_yisell
Presentacion segi seminario_yisell
 
Training apple
Training appleTraining apple
Training apple
 
iOS d'estar per casa - Jornades Apple 2011 Ulldecona
iOS d'estar per casa - Jornades Apple 2011 UlldeconaiOS d'estar per casa - Jornades Apple 2011 Ulldecona
iOS d'estar per casa - Jornades Apple 2011 Ulldecona
 
iOS
iOSiOS
iOS
 
iOS
iOSiOS
iOS
 
Seguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened EditionSeguridad Dispositivos móviles Extened Edition
Seguridad Dispositivos móviles Extened Edition
 
LINE. Android e iOS - Presentación Ciberseg15
LINE. Android e iOS - Presentación Ciberseg15LINE. Android e iOS - Presentación Ciberseg15
LINE. Android e iOS - Presentación Ciberseg15
 
Mobile Day - Desarrollo Apple Watch con Xamarin
Mobile Day - Desarrollo Apple Watch con XamarinMobile Day - Desarrollo Apple Watch con Xamarin
Mobile Day - Desarrollo Apple Watch con Xamarin
 
Seguridad en dispositivos móviles
Seguridad en dispositivos móvilesSeguridad en dispositivos móviles
Seguridad en dispositivos móviles
 
Seguridad dispositivos móviles(Android e iOS)
Seguridad dispositivos móviles(Android e iOS)Seguridad dispositivos móviles(Android e iOS)
Seguridad dispositivos móviles(Android e iOS)
 
Sistemas operativos
Sistemas operativosSistemas operativos
Sistemas operativos
 
Arquitectura, aplicaciones y seguridad en ios
Arquitectura, aplicaciones y seguridad en iosArquitectura, aplicaciones y seguridad en ios
Arquitectura, aplicaciones y seguridad en ios
 
Desarrollo en iOS devacademy
Desarrollo en iOS   devacademyDesarrollo en iOS   devacademy
Desarrollo en iOS devacademy
 
Sistema operativo ios
Sistema operativo iosSistema operativo ios
Sistema operativo ios
 
Overflowing attack potential, scoring defence in-depth
Overflowing attack potential, scoring defence in-depthOverflowing attack potential, scoring defence in-depth
Overflowing attack potential, scoring defence in-depth
 
Sistemas Operativos Moviles, Android y IOs
Sistemas Operativos Moviles, Android y IOsSistemas Operativos Moviles, Android y IOs
Sistemas Operativos Moviles, Android y IOs
 
Biologia ecosistemas marinos
Biologia ecosistemas marinosBiologia ecosistemas marinos
Biologia ecosistemas marinos
 

Similar to Hardening murcia lan party 2013

Seguridad Base Datos
Seguridad Base DatosSeguridad Base Datos
Seguridad Base Datos
JuandTs
 
Tema 4 mecanismos de defensa
Tema 4 mecanismos de defensaTema 4 mecanismos de defensa
Tema 4 mecanismos de defensa
Mariano Galvez
 
Seguridad base de datos
Seguridad base de datosSeguridad base de datos
Seguridad base de datos
JuandTs
 

Similar to Hardening murcia lan party 2013 (20)

La seguridad de tus emails en Mailjet
La seguridad de tus emails en MailjetLa seguridad de tus emails en Mailjet
La seguridad de tus emails en Mailjet
 
Hardening windows
Hardening windowsHardening windows
Hardening windows
 
Introduccion seguridad informatica - chakan
Introduccion seguridad informatica   - chakanIntroduccion seguridad informatica   - chakan
Introduccion seguridad informatica - chakan
 
WINDOWS 2019 HARDENING (Aseguramiento)
WINDOWS 2019 HARDENING (Aseguramiento)WINDOWS 2019 HARDENING (Aseguramiento)
WINDOWS 2019 HARDENING (Aseguramiento)
 
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)
WEBINAR : WINDOWS 2019 HARDENING (Aseguramiento)
 
Seguridad en sistemas distribuidos
Seguridad en sistemas distribuidosSeguridad en sistemas distribuidos
Seguridad en sistemas distribuidos
 
Seguridad informática1
Seguridad informática1Seguridad informática1
Seguridad informática1
 
Petya / Petrwrap / NoPetya
Petya / Petrwrap / NoPetyaPetya / Petrwrap / NoPetya
Petya / Petrwrap / NoPetya
 
Introducción a las vulnerabilidades Web: cómo detectarlas y evitarlas
Introducción a las vulnerabilidades Web: cómo detectarlas y evitarlasIntroducción a las vulnerabilidades Web: cómo detectarlas y evitarlas
Introducción a las vulnerabilidades Web: cómo detectarlas y evitarlas
 
Seguridad en Servidores Dedicados
Seguridad en Servidores DedicadosSeguridad en Servidores Dedicados
Seguridad en Servidores Dedicados
 
5 problemas del intercambio de archivos mediante scripts
5 problemas del intercambio de archivos mediante scripts5 problemas del intercambio de archivos mediante scripts
5 problemas del intercambio de archivos mediante scripts
 
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
 
Rooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos saboresRooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos sabores
 
Seguridad Base Datos
Seguridad Base DatosSeguridad Base Datos
Seguridad Base Datos
 
Tema 4 mecanismos de defensa
Tema 4 mecanismos de defensaTema 4 mecanismos de defensa
Tema 4 mecanismos de defensa
 
Seguridad base de datos
Seguridad base de datosSeguridad base de datos
Seguridad base de datos
 
Desafíos de la Ciberseguridad Industrial
Desafíos de la Ciberseguridad IndustrialDesafíos de la Ciberseguridad Industrial
Desafíos de la Ciberseguridad Industrial
 
Construyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentestingConstruyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentesting
 
2.3 Recoleccion de Información
2.3 Recoleccion de Información2.3 Recoleccion de Información
2.3 Recoleccion de Información
 
Centros de datos clase
Centros de datos   claseCentros de datos   clase
Centros de datos clase
 

More from S2 Grupo · Security Art Work (7)

Facebook to whatsapp
Facebook to whatsappFacebook to whatsapp
Facebook to whatsapp
 
Protección de Infraestructuras Críticas
Protección de Infraestructuras CríticasProtección de Infraestructuras Críticas
Protección de Infraestructuras Críticas
 
Continuidad de Negocio (UNE 71599 / BS 25999)
Continuidad de Negocio (UNE 71599 / BS 25999)Continuidad de Negocio (UNE 71599 / BS 25999)
Continuidad de Negocio (UNE 71599 / BS 25999)
 
Seguridad dentro y fuera de la Nube
Seguridad dentro y fuera de la NubeSeguridad dentro y fuera de la Nube
Seguridad dentro y fuera de la Nube
 
Gestión de Incidencias
Gestión de IncidenciasGestión de Incidencias
Gestión de Incidencias
 
El nuevo director de seguridad
El nuevo director de seguridadEl nuevo director de seguridad
El nuevo director de seguridad
 
Convergencia de la Seguridad
Convergencia de la SeguridadConvergencia de la Seguridad
Convergencia de la Seguridad
 

Hardening murcia lan party 2013