Rafael Otal y Jose L Navarro Adam nos comparten en el #DragonJARCON 2020 una charla titulada "Alta seguridad para clusters críticos" cuya descripción es: En el workshop corto aprenderemos a montar GLAMP en modo cluster, desde la seguridad perimetral, hasta la motorización, lo que nos permitirá tener un sistema de HA y resiliencia. Para ello montaremos un sistema de múltiples nodos, basados en tecnologías GNU/Linux. Tendremos dos nodos frontales que tendrá un sistema de balanceo de carga con HAProxy y keepalived para tener ips flotantes, dichos nodos serán bastionados para evitar una serie de ataques de fuerza bruta, inyección de sql y XSS. Desde el usuario hasta los nodos frontales se realizará la conexión mediante ssl aprovechando los certificados de Let’s Encrypt. Para aumentar la seguridad de nuestro cluster montaremos un sistema de WAF con modSecurity que recibirá todas las peticiones web y si alguna no es válida la bloqueará. Si la petición es válida la devolverá al HAProxy para enviarla a los nodos GLAMP. Sin embargo, como no nos fiamos del todo de nuestro WAF, diseñaremos nuestro propio servicio de captura de eventos de seguridad que monitorizara: intentos de inicio de sesión SSH, Web, POST y REFERERS enviados a los servidores, y los logs de MALTRAIL para detectar tráfico proveniente de sitios maliciosos y escaneos de red e inyección de código malware. Los eventos capturados serán enviados a los FW de acceso, que en función de las alertas ejecutarán IPTABLES para bloquear paquetes de entrada/salida, y enrutamiento a blackhole (ip r add blackhole) que permite romper la sesión del atacante incluso si ya ha sido establecida, seguir analizando los logs de sus ataques para crear nuevas reglas del WAF, y detener ataques DDoS mediante activación del flag TCP TTL a 30 para provocar el tiempo de vida expirado en tránsito del paquete denegado. Contaremos con 3 nodos internos para GLAMP montados con un sistema de ficheros compartidos mediante GlusterFS, para que todas las máquinas compartan la misma información. El sistema de base de datos lo construiremos con Galera Cluster basados en MariaDB para compartir la información de la base de datos. Tendremos para finalizar un último nodo basado en Prometheus, AlerManager y Grafana para tener información en tiempo real del estado de nuestros nodos y alertas si sucede alguna sobrecarga o caída de algún nodo. ----------------------------------------------------------------------------------------------- Youtube: DragonJARtv (http://bit.ly/DragonJARtv) Facebook: La.Comunidad.DragonJAR (http://bit.ly/DragonJARfb) Twitter: @DragonJAR (http://bit.ly/DragonJARt) Instagram: Dragon.JAR (http://bit.ly/DragonJARig) Discord: https://invite.gg/DragonJAR Blog: Comunidad DragonJAR (http://bit.ly/DragonJAR) -----------------------------------------------------------------------------------------------

1. ALTA
SEGURIDAD
PARA
CLUSTERS
CRÍTICOS

2. 2
SI TIENES PREGUNTAS
DURANTE LA CHARLA
INGRESA AL CODIGO QR
E INGRESA ESTE
NUMERO
#22617qrco.de/preguntar

3. Rafael
Otal
@goldrak
3
WhoAmI WhoAmI
Rafael Otal
• Ing. Técnico
Telecomunicaciones
• Fundador de
MorterueloCON
• Orgulloso gordo del
Quebrantahuesos
Rugby Club (Huesca)
José Luis Navarro Adam
• Técnico Superior de
Seguridad Informática
• Perito Judicial de
Seguridad Informática
• Director de Proyectos e
I+D GirsaNet (
https://girsanet.com )
• Consultor
Ciberseguridad en
Zinetik Consultores
• “Constructor de
murallas”
Jose Luis
Navarro
Adam
@JLNavarroAdam

4. 4
INDICE • ESQUEMA DE LA INFRAESTRUCTURA
• LA PUERTA DE ENTRADA
• BLOQUEANDO EL MARTILLO DE TOR
• CREANDO LINEAS SEGURAS
• AMURALLANDO LAS PETICIONES
• NODOS POR DOQUIER
• MEMORIA DE COLMENA
• ¿QUÉ PASA POR NUESTROS NODOS?
• UN ANILLO PARA GOBERNARLOS A TODOS
(S4UR0N)
• RECORRIENDO EL CAMINO DE BALDOSAS
AMARILLAS
• RECOGIENDO INFO COMO LA NSA
• AUTODROP PARSER
• MALTRAIL SE APUNTA AL BAILE
• BAILANDO CON MALTRAIL
• AMPLIAMOS LA FIESTA
• ENTRE BAMBALINAS DE AUTODROP
• SEGURIDAD BLUETEAM COMO SERVICIO
BLUETEAM

5. 5
ESQUEMA DE LA INFRAESTRUCTURA

6. 6
LA PUERTA DE ENTRADA

7. 7
LA PUERTA DE ENTRADA

8. 8
LA PUERTA DE ENTRADA

9. 9
LA PUERTA
DE ENTRADA

10. 10
LA PUERTA DE ENTRADA

11. 11
BLOQUEANDO EL MARTILLO DE
TOR

12. 12
CREANDO LINEAS
SEGURAS

13. 13
AMURALLANDO LAS PETICIONES

14. 14
AMURALLANDO LAS PETICIONES

15. 15
NODOS POR DOQUIER

16. 16
NODOS POR DOQUIER

17. 17
MEMORIA DE COLMENA

18. 18
MEMORIA DE COLMENA

19. 19
¿QUÉ PASA POR NUESTROS NODOS?

20. 20
UN ANILLO PARA GOBERNARLOS A TODOS
(S4UR0N)

21. 21
HA
Proxy
server
WAF
server
ENDPOIN
T serverIN
1
2
3
MALTRAIL
+
FW (IPTABLES)
+
AUTODROP
RECORRIENDO EL CAMINO DE BALDOSAS AMARILL

22. RECOGIENDO INFO COMO LA NSA 22
rsyslog
HA server
WAF
server
ENDPOINT
server
MALTRAIL
+
FW (IPTABLES)
+
AUTODROP
/var/log/autodrop
/var/log/maltrail
/var/log/auth.log
/var/log/apache2/access.log
/var/log/openvpn/
/var/log/waf/access.log
rsyslog

23. AUTODROP PARSER
23
PROCESOS Openvpn SSH Apache
/var/log/openvpn/*.log
WAF MALTRAIL
/var/log/auth.log
/var/log/apache2/access.log
/var/log/waf/Access.log
/var/log/maltrail/aaaa-mm-dd.log
Tarea cron
cada minuto

24. AUTODROP PARSER
24
Parser
Detección
encontrada
BLOQUEA
R
Y
REGISTRA
R
Análisis de registros
En tiempo real
¿Qué hacer cuando se
detecta un ataque?
NUEVA
CONOCIDA

25. MALTRAIL SE APUNTA AL
BAILE
25
https://github.com/stamparm/maltrail

26. 26
MALTRAIL SE APUNTA AL
BAILE

27. 27
# cat /var/log/maltrail/2019-10-26.log | egrep ‘(malware|tor exit|leakage|scan|attack|reputation)’ | cut –d ‘ ‘ –f 10
BAILANDO CON MALTRAIL

28. 28
BAILANDO CON MALTRAIL

29. 29
SSH Intentos de login fallidos:
AMPLIAMOS LA
FIESTA
Y así con el resto de servicios y sus correspondientes
logs…
Parseamos para obtener la IP:

30. AUTODROP PARSER
30
Parser
Detección
encontrada
BLOQUEA
R
Y
REGISTRA
R
Análisis de registros
En tiempo real
¿Qué hacer cuando se
detecta un ataque?
NUEVA
CONOCIDA

31. ENTRE BAMBALINAS DE AUTODROP
31
BLOQUEO
IPTABLES
NUESTRO OBJETIVO: DETECTAR, BLOQUEAR
Y REGISTRAR LOS ATAQUES
IP ROUTE

32. 32
ENTRE BAMBALINAS DE AUTODROP
Por quéa veces nonos puedeinteresar bloquear por IP
TABLES…

33. 33

34. SEGURIDAD
BLUETEAM
34
• Registros LOG
• Utilización de herramientas open
source
• FW DROP (iptables)
• Enrutado a BLACKHOLE
• Registro a BBDD
• Representación en Grafana
DETECCIÓN
Sample Title Here
OBJETIVOS
Asegurar el bastionado de
nuestros servidores de
manera automatizada,
registrando los eventos
detectados,
para ir aprendiendo de las
técnicas de ataques.
BLOQUEO
REGISTRO
SERVICIO
BLUETEAM

35. 35
Cluster va Cluster
vieneSolucion Open Source para
ayudar a la detección de
eventos relacionados con la
Seguridad, bloquearlos e
impedir la propagación, y
registrarlos en nuestra bbdd
de incidencias.
Ayuda a seguir incidencias y
aprender de los ataques
recibidos.
https://github.com/Cluster-Va-Cluster-Viene
Todo el contenido de este charla está
disponible y se ampliará en nuestro github

36. 36
SI TIENES PREGUNTAS
DURANTE LA CHARLA
INGRESA AL CODIGO QR
E INGRESA ESTE
NUMERO
#22617qrco.de/preguntar