1. Bastionado de sistemas
Linux
Jose Luis Chica
@BufferOverCat

2. ¿De qué !$%=& va esto?
• Identificar los riesgos que vamos a
enfrentarnos como sysadmins
• Mostrar recomendaciones
• Implantar según necesidades

3. ~$ whois ponente
• Ing. Técnico en Informática de Gestión
por la UMU
• Security Engineer en S2 Grupo
• Miembro del Centro de Seguridad TIC de
la Comunidad Valenciana (CSIRT-cv)
• Asiduo de las MLP ;)

4. CSIRT-cv
• Boletines, RSS de fabricantes
• Noticias diarias
• Cursos online gratuitos, guías, campañas
de concienciación
• Informes de phising. Mándanos!
• Twitter: @csirtcv
• FB: www.facebook.com/csirtcv

5. Bastionado!
• Aplicado al equipo
• Aplicado a la red

6. Defensa en profundidad
• Medidas de seguridad en varias capas
• Contención en caso de que una caiga

7. Bastionado de HOST

8. Reglas básicas
• Minimizar la superficie de ataque
• Controlar accesos
• Monitorizar
• Copias de seguridad

9. Instalar sistema mínimo
• Quitar compiladores, X, herramientas
de desarrollo...
• Más estable
• Menos propenso a fallos

10. Actualizado
• Actualizaciones arreglan bugs
• Y vulnerabilidades!
• No sirve la excusa “no está conectado
directamente a internet”·

11. Actualizado
• Necesario pruebas en pre antes de
aplicar parches
• Útil sistemas virtualizados
• Snapshot, parcheo, vuelta atrás si no
funciona

12. Servicios deshabilitados
• Si no se necesita, páralo
• Si no sabes si lo necesitas, páralo, y
observa si algo explota ;)

13. Aislarse del resto
• Idealmente, un host, un servicio
• Reglas de firewall para evitar:
o Conexiones del resto de DMZ
o Conexiones entrantes de otras redes
o Conexiones salientes

14. Seguridad física
• Protección de la BIOS
• Protección del GRUB
• Acceso al rack

15. Seguridad del kernel
• Contramedidas ante exploits
• PAX, SELinux, AppArmor

16. NTP
• Sincronización de todos los timestamp
• Para la correlación y análisis de logs,
se agradece

17. CONTROL DE ACCESO
• No permitir accesos como root
o Alternativa, uso de clave pública
entre equipos
• Cambiar puerto por defecto

18. SUDO
• Uso de comandos como administrador
sin necesidad de conocer el password
• Da permisos a comandos concretos
• Se registra todo

19. Otros
• Cuota de disco
• Política de contraseñas
• Permisos de usuario y grupo
• Usar VPN para accesos a redes

20. MONITORIZACIÓN
• Imprescindible controlar el estado de
los dispositivos
• Luchar contra la entropía
o Si el medio cambia, nosotros también

21. Servidor de syslog
• Se guardan los logs en lugar seguro
o Protegido de modificaciones ilícitas
en caso de incidente
o Recomendado firma y timestamp
• Análisis de log y correlación
o Acceso a las 5am?

22. Disponibilidad
• Control del estado del equipo/servicio
• Capacidad de actuación inmediata en
caso de caída de servicio

23. Control de integridad
• Monitorización de cambios en ficheros
críticos
• AntiRootkits

24. Auditorías periódicas
• Vulnerabilidades
• Revisiones y propuestas de mejora

25. COPIA - REPLICACIÓN
• Incidentes pasan, A TODOS!
o Intrusiones
o Discos duros muertos
o Caídas de red
● ¿Cuánto costaría una hora sin servicio?
● ¿Cuánto costaría haberlo evitado?

26. Copias de seguridad
• Activos críticos
o BBDD
o Archivos de configuración
o Documentos

27. Replicación
• Copias a otro CPD
• Descentralización de infraestructura
o En caso de caída, posibilidad de
replicación en otro CPD

28. Documentar
• En caso de desastre, que tu abuela
sepa restaurar el servicio
• No pensar, actuar!
• Probar periódicamente a restaurar
o Se comprueba que funciona
o Se entrena al técnico

29. Bastionado de RED

30. Segmentación - DMZ
• Separación de redes
o Red interna de usuarios
o Servidores de uso interno
o Servidores con servicio al exterior

31. Segmentación - DMZ

32. Segmentación - DMZ
• Reglas de Firewall
o
o
o
o
o
o
Desde exterior a DMZ EXT, permitir
Desde exterior a DMZ INT, denegar
Desde DMZ EXT a DMZ INT, denegar
Desde DMZ EXT a exterior, denegar
Desde DMZ INT a DMZ EXT, denegar
Desde DMZ INT a exterior, denegar

33. Otros dispositivos
• IDS - IPS
• Load Balancers
• Proxy
• HoneyPot

34. ¿PREGUNTAS?

35. ¡GRACIAS!
www.securityartwork.es