Iniciar sesiónCerrar
Correo:
Contraseña:
Entrar
Recordar sesión en este navegador
Iniciar sesiónIniciar sesiónCrear cuentaCrear cuenta
LWP » PDFs de programación » Bastionado de sistemas Linux

PDF de programación - Bastionado de sistemas Linux

Volver
<<>>
Imágen de pdf Bastionado de sistemas Linux

Bastionado de sistemas Linuxgráfica de visualizaciones

Publicado el 13 de Octubre del 2020
690 visualizaciones desde el 13 de Octubre del 2020
8,5 MB
35 paginas
Creado hace 11a (01/12/2013)
Bastionado de sistemas Linux
Jose Luis Chica

¿De qué !$%=& va esto?

● Identificar los riesgos que vamos a

enfrentarnos como sysadmins

● Mostrar recomendaciones
● Implantar según necesidades

~$ whois ponente

● Ing. Técnico en Informática de Gestión

por la UMU

● Security Engineer en S2 Grupo
● Miembro del Centro de Seguridad TIC de

la Comunidad Valenciana (CSIRT-cv)

● Asiduo de las MLP ;)

CSIRT-cv

● Boletines, RSS de fabricantes
● Noticias diarias
● Cursos online gratuitos, guías, campañas

de concienciación

● Informes de phising. Mándanos!
● Twitter: @csirtcv
● FB: www.facebook.com/csirtcv

Bastionado!

● Aplicado al equipo

● Aplicado a la red

Defensa en profundidad

● Medidas de seguridad en varias capas
● Contención en caso de que una caiga

Bastionado de HOST

Reglas básicas

● Minimizar la superficie de ataque
● Controlar accesos
● Monitorizar
● Copias de seguridad

Instalar sistema mínimo

● Quitar compiladores, X, herramientas

de desarrollo...

● Más estable
● Menos propenso a fallos

Actualizado

● Actualizaciones arreglan bugs

● Y vulnerabilidades!

● No sirve la excusa “no está conectado

directamente a internet”·

Actualizado

● Necesario pruebas en pre antes de

aplicar parches

● Útil sistemas virtualizados

● Snapshot, parcheo, vuelta atrás si no

funciona

Servicios deshabilitados

● Si no se necesita, páralo

● Si no sabes si lo necesitas, páralo, y

observa si algo explota ;)

Aislarse del resto
● Idealmente, un host, un servicio

● Reglas de firewall para evitar:

○ Conexiones del resto de DMZ
○ Conexiones entrantes de otras redes
○ Conexiones salientes

Seguridad física

● Protección de la BIOS

● Protección del GRUB

● Acceso al rack

Seguridad del kernel

● Contramedidas ante exploits

● PAX, SELinux, AppArmor

NTP

● Sincronización de todos los timestamp

● Para la correlación y análisis de logs,

se agradece

CONTROL DE ACCESO

● No permitir accesos como root

○ Alternativa, uso de clave pública

entre equipos

● Cambiar puerto por defecto

SUDO

● Uso de comandos como administrador
sin necesidad de conocer el password

● Da permisos a comandos concretos

● Se registra todo

Otros

● Cuota de disco
● Política de contraseñas
● Permisos de usuario y grupo
● Usar VPN para accesos a redes

MONITORIZACIÓN

● Imprescindible controlar el estado de

los dispositivos

● Luchar contra la entropía

○ Si el medio cambia, nosotros también

Servidor de syslog

● Se guardan los logs en lugar seguro

○ Protegido de modificaciones ilícitas

en caso de incidente

○ Recomendado firma y timestamp

● Análisis de log y correlación

○ Acceso a las 5am?

Disponibilidad

● Control del estado del equipo/servicio

● Capacidad de actuación inmediata en

caso de caída de servicio

Control de integridad

● Monitorización de cambios en ficheros

críticos

● AntiRootkits

Auditorías periódicas

● Vulnerabilidades

● Revisiones y propuestas de mejora

COPIA - REPLICACIÓN

● Incidentes pasan, A TODOS!

○ Intrusiones
○ Discos duros muertos
○ Caídas de red

● ¿Cuánto costaría una hora sin servicio?
● ¿Cuánto costaría haberlo evitado?

Copias de seguridad

● Activos críticos

○ BBDD
○ Archivos de configuración
○ Documentos

Replicación

● Copias a otro CPD

● Descentralización de infraestructura
○ En caso de caída, posibilidad de

replicación en otro CPD

Documentar

● En caso de desastre, que tu abuela

sepa restaurar el servicio

● No pensar, actuar!
● Probar periódicamente a restaurar

○ Se comprueba que funciona
○ Se entrena al técnico

Bastionado de RED

Segmentación - DMZ

● Separación de redes

○ Red interna de usuarios
○ Servidores de uso interno
○ Servidores con servicio al exterior

Segmentación - DMZ

Segmentación - DMZ

● Reglas de Firewall

○ Desde exterior a DMZ EXT, permitir
○ Desde exterior a DMZ INT, denegar
○ Desde DMZ EXT a DMZ INT, denegar
○ Desde DMZ EXT a exterior, denegar
○ Desde DMZ INT a DMZ EXT, denegar
○ Desde DMZ INT a exterior, denegar

Otros dispositivos

● IDS - IPS

● Load Balancers

● Proxy

● HoneyPot

¿PREGUNTAS?

¡GRACIAS!

www.securityartwork.es
@BufferOverCat
  • Links de descarga
http://lwp-l.com/pdf18356

Comentarios de: Bastionado de sistemas Linux (0)


No hay comentarios
 

Comentar...

Nombre
Correo (no se visualiza en la web)
Valoración
Comentarios...
CerrarCerrar
CerrarCerrar
Cerrar

Tienes que ser un usuario registrado para poder insertar imágenes, archivos y/o videos.

Puedes registrarte o validarte desde aquí.

Codigo
Negrita
Subrayado
Tachado
Cursiva
Insertar enlace
Imagen externa
Emoticon
Tabular
Centrar
Titulo
Linea
Disminuir
Aumentar
Vista preliminar
sonreir
dientes
lengua
guiño
enfadado
confundido
llorar
avergonzado
sorprendido
triste
sol
estrella
jarra
camara
taza de cafe
email
beso
bombilla
amor
mal
bien
Es necesario revisar y aceptar las políticas de privacidad
Acepto las políticas de privacidad