Hardening murcia lan party 2013

5,497 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
5,497
On SlideShare
0
From Embeds
0
Number of Embeds
4,473
Actions
Shares
0
Downloads
24
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Hardening murcia lan party 2013

  1. 1. Bastionado de sistemas Linux Jose Luis Chica @BufferOverCat
  2. 2. ¿De qué !$%=& va esto? • Identificar los riesgos que vamos a enfrentarnos como sysadmins • Mostrar recomendaciones • Implantar según necesidades
  3. 3. ~$ whois ponente • Ing. Técnico en Informática de Gestión por la UMU • Security Engineer en S2 Grupo • Miembro del Centro de Seguridad TIC de la Comunidad Valenciana (CSIRT-cv) • Asiduo de las MLP ;)
  4. 4. CSIRT-cv • Boletines, RSS de fabricantes • Noticias diarias • Cursos online gratuitos, guías, campañas de concienciación • Informes de phising. Mándanos! • Twitter: @csirtcv • FB: www.facebook.com/csirtcv
  5. 5. Bastionado! • Aplicado al equipo • Aplicado a la red
  6. 6. Defensa en profundidad • Medidas de seguridad en varias capas • Contención en caso de que una caiga
  7. 7. Bastionado de HOST
  8. 8. Reglas básicas • Minimizar la superficie de ataque • Controlar accesos • Monitorizar • Copias de seguridad
  9. 9. Instalar sistema mínimo • Quitar compiladores, X, herramientas de desarrollo... • Más estable • Menos propenso a fallos
  10. 10. Actualizado • Actualizaciones arreglan bugs • Y vulnerabilidades! • No sirve la excusa “no está conectado directamente a internet”·
  11. 11. Actualizado • Necesario pruebas en pre antes de aplicar parches • Útil sistemas virtualizados • Snapshot, parcheo, vuelta atrás si no funciona
  12. 12. Servicios deshabilitados • Si no se necesita, páralo • Si no sabes si lo necesitas, páralo, y observa si algo explota ;)
  13. 13. Aislarse del resto • Idealmente, un host, un servicio • Reglas de firewall para evitar: o Conexiones del resto de DMZ o Conexiones entrantes de otras redes o Conexiones salientes
  14. 14. Seguridad física • Protección de la BIOS • Protección del GRUB • Acceso al rack
  15. 15. Seguridad del kernel • Contramedidas ante exploits • PAX, SELinux, AppArmor
  16. 16. NTP • Sincronización de todos los timestamp • Para la correlación y análisis de logs, se agradece
  17. 17. CONTROL DE ACCESO • No permitir accesos como root o Alternativa, uso de clave pública entre equipos • Cambiar puerto por defecto
  18. 18. SUDO • Uso de comandos como administrador sin necesidad de conocer el password • Da permisos a comandos concretos • Se registra todo
  19. 19. Otros • Cuota de disco • Política de contraseñas • Permisos de usuario y grupo • Usar VPN para accesos a redes
  20. 20. MONITORIZACIÓN • Imprescindible controlar el estado de los dispositivos • Luchar contra la entropía o Si el medio cambia, nosotros también
  21. 21. Servidor de syslog • Se guardan los logs en lugar seguro o Protegido de modificaciones ilícitas en caso de incidente o Recomendado firma y timestamp • Análisis de log y correlación o Acceso a las 5am?
  22. 22. Disponibilidad • Control del estado del equipo/servicio • Capacidad de actuación inmediata en caso de caída de servicio
  23. 23. Control de integridad • Monitorización de cambios en ficheros críticos • AntiRootkits
  24. 24. Auditorías periódicas • Vulnerabilidades • Revisiones y propuestas de mejora
  25. 25. COPIA - REPLICACIÓN • Incidentes pasan, A TODOS! o Intrusiones o Discos duros muertos o Caídas de red ● ¿Cuánto costaría una hora sin servicio? ● ¿Cuánto costaría haberlo evitado?
  26. 26. Copias de seguridad • Activos críticos o BBDD o Archivos de configuración o Documentos
  27. 27. Replicación • Copias a otro CPD • Descentralización de infraestructura o En caso de caída, posibilidad de replicación en otro CPD
  28. 28. Documentar • En caso de desastre, que tu abuela sepa restaurar el servicio • No pensar, actuar! • Probar periódicamente a restaurar o Se comprueba que funciona o Se entrena al técnico
  29. 29. Bastionado de RED
  30. 30. Segmentación - DMZ • Separación de redes o Red interna de usuarios o Servidores de uso interno o Servidores con servicio al exterior
  31. 31. Segmentación - DMZ
  32. 32. Segmentación - DMZ • Reglas de Firewall o o o o o o Desde exterior a DMZ EXT, permitir Desde exterior a DMZ INT, denegar Desde DMZ EXT a DMZ INT, denegar Desde DMZ EXT a exterior, denegar Desde DMZ INT a DMZ EXT, denegar Desde DMZ INT a exterior, denegar
  33. 33. Otros dispositivos • IDS - IPS • Load Balancers • Proxy • HoneyPot
  34. 34. ¿PREGUNTAS?
  35. 35. ¡GRACIAS! www.securityartwork.es

×