Rafael Otal y Jose L Navarro Adam nos comparten en el #DragonJARCON 2020 una charla titulada "Alta seguridad para clusters críticos" cuya descripción es:
En el workshop corto aprenderemos a montar GLAMP en modo cluster, desde la seguridad perimetral, hasta la motorización, lo que nos permitirá tener un sistema de HA y resiliencia. Para ello montaremos un sistema de múltiples nodos, basados en tecnologías GNU/Linux. Tendremos dos nodos frontales que tendrá un sistema de balanceo de carga con HAProxy y keepalived para tener ips flotantes, dichos nodos serán bastionados para evitar una serie de ataques de fuerza bruta, inyección de sql y XSS. Desde el usuario hasta los nodos frontales se realizará la conexión mediante ssl aprovechando los certificados de Let’s Encrypt. Para aumentar la seguridad de nuestro cluster montaremos un sistema de WAF con modSecurity que recibirá todas las peticiones web y si alguna no es válida la bloqueará. Si la petición es válida la devolverá al HAProxy para enviarla a los nodos GLAMP. Sin embargo, como no nos fiamos del todo de nuestro WAF, diseñaremos nuestro propio servicio de captura de eventos de seguridad que monitorizara: intentos de inicio de sesión SSH, Web, POST y REFERERS enviados a los servidores, y los logs de MALTRAIL para detectar tráfico proveniente de sitios maliciosos y escaneos de red e inyección de código malware. Los eventos capturados serán enviados a los FW de acceso, que en función de las alertas ejecutarán IPTABLES para bloquear paquetes de entrada/salida, y enrutamiento a blackhole (ip r add blackhole) que permite romper la sesión del atacante incluso si ya ha sido establecida, seguir analizando los logs de sus ataques para crear nuevas reglas del WAF, y detener ataques DDoS mediante activación del flag TCP TTL a 30 para provocar el tiempo de vida expirado en tránsito del paquete denegado. Contaremos con 3 nodos internos para GLAMP montados con un sistema de ficheros compartidos mediante GlusterFS, para que todas las máquinas compartan la misma información. El sistema de base de datos lo construiremos con Galera Cluster basados en MariaDB para compartir la información de la base de datos. Tendremos para finalizar un último nodo basado en Prometheus, AlerManager y Grafana para tener información en tiempo real del estado de nuestros nodos y alertas si sucede alguna sobrecarga o caída de algún nodo.
-----------------------------------------------------------------------------------------------
Youtube: DragonJARtv (http://bit.ly/DragonJARtv)
Facebook: La.Comunidad.DragonJAR (http://bit.ly/DragonJARfb)
Twitter: @DragonJAR (http://bit.ly/DragonJARt)
Instagram: Dragon.JAR (http://bit.ly/DragonJARig)
Discord: https://invite.gg/DragonJAR
Blog: Comunidad DragonJAR (http://bit.ly/DragonJAR)
-----------------------------------------------------------------------------------------------
3. Rafael
Otal
@goldrak
3
WhoAmI WhoAmI
Rafael Otal
• Ing. Técnico
Telecomunicaciones
• Fundador de
MorterueloCON
• Orgulloso gordo del
Quebrantahuesos
Rugby Club (Huesca)
José Luis Navarro Adam
• Técnico Superior de
Seguridad Informática
• Perito Judicial de
Seguridad Informática
• Director de Proyectos e
I+D GirsaNet (
https://girsanet.com )
• Consultor
Ciberseguridad en
Zinetik Consultores
• “Constructor de
murallas”
Jose Luis
Navarro
Adam
@JLNavarroAdam
4. 4
INDICE • ESQUEMA DE LA INFRAESTRUCTURA
• LA PUERTA DE ENTRADA
• BLOQUEANDO EL MARTILLO DE TOR
• CREANDO LINEAS SEGURAS
• AMURALLANDO LAS PETICIONES
• NODOS POR DOQUIER
• MEMORIA DE COLMENA
• ¿QUÉ PASA POR NUESTROS NODOS?
• UN ANILLO PARA GOBERNARLOS A TODOS
(S4UR0N)
• RECORRIENDO EL CAMINO DE BALDOSAS
AMARILLAS
• RECOGIENDO INFO COMO LA NSA
• AUTODROP PARSER
• MALTRAIL SE APUNTA AL BAILE
• BAILANDO CON MALTRAIL
• AMPLIAMOS LA FIESTA
• ENTRE BAMBALINAS DE AUTODROP
• SEGURIDAD BLUETEAM COMO SERVICIO
BLUETEAM
22. RECOGIENDO INFO COMO LA NSA 22
rsyslog
HA server
WAF
server
ENDPOINT
server
MALTRAIL
+
FW (IPTABLES)
+
AUTODROP
/var/log/autodrop
/var/log/maltrail
/var/log/auth.log
/var/log/apache2/access.log
/var/log/openvpn/
/var/log/waf/access.log
rsyslog
34. SEGURIDAD
BLUETEAM
34
• Registros LOG
• Utilización de herramientas open
source
• FW DROP (iptables)
• Enrutado a BLACKHOLE
• Registro a BBDD
• Representación en Grafana
DETECCIÓN
Sample Title Here
OBJETIVOS
Asegurar el bastionado de
nuestros servidores de
manera automatizada,
registrando los eventos
detectados,
para ir aprendiendo de las
técnicas de ataques.
BLOQUEO
REGISTRO
SERVICIO
BLUETEAM
35. 35
Cluster va Cluster
vieneSolucion Open Source para
ayudar a la detección de
eventos relacionados con la
Seguridad, bloquearlos e
impedir la propagación, y
registrarlos en nuestra bbdd
de incidencias.
Ayuda a seguir incidencias y
aprender de los ataques
recibidos.
https://github.com/Cluster-Va-Cluster-Viene
Todo el contenido de este charla está
disponible y se ampliará en nuestro github