Alta seguridad para clusters críticos
Rafael Otal y Jose L Navarro Adam nos comparten en el #DragonJARCON 2020 una charla titulada "Alta seguridad para clusters críticos" cuya descripción es: En el workshop corto aprenderemos a montar GLAMP en modo cluster, desde la seguridad perimetral, hasta la motorización, lo que nos permitirá tener un sistema de HA y resiliencia. Para ello montaremos un sistema de múltiples nodos, basados en tecnologías GNU/Linux. Tendremos dos nodos frontales que tendrá un sistema de balanceo de carga con HAProxy y keepalived para tener ips flotantes, dichos nodos serán bastionados para evitar una serie de ataques de fuerza bruta, inyección de sql y XSS. Desde el usuario hasta los nodos frontales se realizará la conexión mediante ssl aprovechando los certificados de Let’s Encrypt. Para aumentar la seguridad de nuestro cluster montaremos un sistema de WAF con modSecurity que recibirá todas las peticiones web y si alguna no es válida la bloqueará. Si la petición es válida la devolverá al HAProxy para enviarla a los nodos GLAMP. Sin embargo, como no nos fiamos del todo de nuestro WAF, diseñaremos nuestro propio servicio de captura de eventos de seguridad que monitorizara: intentos de inicio de sesión SSH, Web, POST y REFERERS enviados a los servidores, y los logs de MALTRAIL para detectar tráfico proveniente de sitios maliciosos y escaneos de red e inyección de código malware. Los eventos capturados serán enviados a los FW de acceso, que en función de las alertas ejecutarán IPTABLES para bloquear paquetes de entrada/salida, y enrutamiento a blackhole (ip r add blackhole) que permite romper la sesión del atacante incluso si ya ha sido establecida, seguir analizando los logs de sus ataques para crear nuevas reglas del WAF, y detener ataques DDoS mediante activación del flag TCP TTL a 30 para provocar el tiempo de vida expirado en tránsito del paquete denegado. Contaremos con 3 nodos internos para GLAMP montados con un sistema de ficheros compartidos mediante GlusterFS, para que todas las máquinas compartan la misma información. El sistema de base de datos lo construiremos con Galera Cluster basados en MariaDB para compartir la información de la base de datos. Tendremos para finalizar un último nodo basado en Prometheus, AlerManager y Grafana para tener información en tiempo real del estado de nuestros nodos y alertas si sucede alguna sobrecarga o caída de algún nodo. ----------------------------------------------------------------------------------------------- Youtube: DragonJARtv (http://bit.ly/DragonJARtv) Facebook: La.Comunidad.DragonJAR (http://bit.ly/DragonJARfb) Twitter: @DragonJAR (http://bit.ly/DragonJARt) Instagram: Dragon.JAR (http://bit.ly/DragonJARig) Discord: https://invite.gg/DragonJAR Blog: Comunidad DragonJAR (http://bit.ly/DragonJAR) -----------------------------------------------------------------------------------------------
Recomendados
Más contenido relacionado
Similar a Alta seguridad para clusters críticos
Similar a Alta seguridad para clusters críticos (20)
Más de Jaime Restrepo
Más de Jaime Restrepo (20)
Último
Último (20)
Alta seguridad para clusters críticos
- 2. 2 SI TIENES PREGUNTAS DURANTE LA CHARLA INGRESA AL CODIGO QR E INGRESA ESTE NUMERO #22617qrco.de/preguntar
- 3. Rafael Otal @goldrak 3 WhoAmI WhoAmI Rafael Otal • Ing. Técnico Telecomunicaciones • Fundador de MorterueloCON • Orgulloso gordo del Quebrantahuesos Rugby Club (Huesca) José Luis Navarro Adam • Técnico Superior de Seguridad Informática • Perito Judicial de Seguridad Informática • Director de Proyectos e I+D GirsaNet ( https://girsanet.com ) • Consultor Ciberseguridad en Zinetik Consultores • “Constructor de murallas” Jose Luis Navarro Adam @JLNavarroAdam
- 4. 4 INDICE • ESQUEMA DE LA INFRAESTRUCTURA • LA PUERTA DE ENTRADA • BLOQUEANDO EL MARTILLO DE TOR • CREANDO LINEAS SEGURAS • AMURALLANDO LAS PETICIONES • NODOS POR DOQUIER • MEMORIA DE COLMENA • ¿QUÉ PASA POR NUESTROS NODOS? • UN ANILLO PARA GOBERNARLOS A TODOS (S4UR0N) • RECORRIENDO EL CAMINO DE BALDOSAS AMARILLAS • RECOGIENDO INFO COMO LA NSA • AUTODROP PARSER • MALTRAIL SE APUNTA AL BAILE • BAILANDO CON MALTRAIL • AMPLIAMOS LA FIESTA • ENTRE BAMBALINAS DE AUTODROP • SEGURIDAD BLUETEAM COMO SERVICIO BLUETEAM
- 5. 5 ESQUEMA DE LA INFRAESTRUCTURA
- 6. 6 LA PUERTA DE ENTRADA
- 7. 7 LA PUERTA DE ENTRADA
- 8. 8 LA PUERTA DE ENTRADA
- 10. 10 LA PUERTA DE ENTRADA
- 11. 11 BLOQUEANDO EL MARTILLO DE TOR
- 19. 19 ¿QUÉ PASA POR NUESTROS NODOS?
- 20. 20 UN ANILLO PARA GOBERNARLOS A TODOS (S4UR0N)
- 21. 21 HA Proxy server WAF server ENDPOIN T serverIN 1 2 3 MALTRAIL + FW (IPTABLES) + AUTODROP RECORRIENDO EL CAMINO DE BALDOSAS AMARILL
- 22. RECOGIENDO INFO COMO LA NSA 22 rsyslog HA server WAF server ENDPOINT server MALTRAIL + FW (IPTABLES) + AUTODROP /var/log/autodrop /var/log/maltrail /var/log/auth.log /var/log/apache2/access.log /var/log/openvpn/ /var/log/waf/access.log rsyslog
- 23. AUTODROP PARSER 23 PROCESOS Openvpn SSH Apache /var/log/openvpn/*.log WAF MALTRAIL /var/log/auth.log /var/log/apache2/access.log /var/log/waf/Access.log /var/log/maltrail/aaaa-mm-dd.log Tarea cron cada minuto
- 24. AUTODROP PARSER 24 Parser Detección encontrada BLOQUEA R Y REGISTRA R Análisis de registros En tiempo real ¿Qué hacer cuando se detecta un ataque? NUEVA CONOCIDA
- 25. MALTRAIL SE APUNTA AL BAILE 25 https://github.com/stamparm/maltrail
- 26. 26 MALTRAIL SE APUNTA AL BAILE
- 27. 27 # cat /var/log/maltrail/2019-10-26.log | egrep ‘(malware|tor exit|leakage|scan|attack|reputation)’ | cut –d ‘ ‘ –f 10 BAILANDO CON MALTRAIL
- 29. 29 SSH Intentos de login fallidos: AMPLIAMOS LA FIESTA Y así con el resto de servicios y sus correspondientes logs… Parseamos para obtener la IP:
- 30. AUTODROP PARSER 30 Parser Detección encontrada BLOQUEA R Y REGISTRA R Análisis de registros En tiempo real ¿Qué hacer cuando se detecta un ataque? NUEVA CONOCIDA
- 31. ENTRE BAMBALINAS DE AUTODROP 31 BLOQUEO IPTABLES NUESTRO OBJETIVO: DETECTAR, BLOQUEAR Y REGISTRAR LOS ATAQUES IP ROUTE
- 32. 32 ENTRE BAMBALINAS DE AUTODROP Por quéa veces nonos puedeinteresar bloquear por IP TABLES…
- 33. 33
- 34. SEGURIDAD BLUETEAM 34 • Registros LOG • Utilización de herramientas open source • FW DROP (iptables) • Enrutado a BLACKHOLE • Registro a BBDD • Representación en Grafana DETECCIÓN Sample Title Here OBJETIVOS Asegurar el bastionado de nuestros servidores de manera automatizada, registrando los eventos detectados, para ir aprendiendo de las técnicas de ataques. BLOQUEO REGISTRO SERVICIO BLUETEAM
- 35. 35 Cluster va Cluster vieneSolucion Open Source para ayudar a la detección de eventos relacionados con la Seguridad, bloquearlos e impedir la propagación, y registrarlos en nuestra bbdd de incidencias. Ayuda a seguir incidencias y aprender de los ataques recibidos. https://github.com/Cluster-Va-Cluster-Viene Todo el contenido de este charla está disponible y se ampliará en nuestro github
- 36. 36 SI TIENES PREGUNTAS DURANTE LA CHARLA INGRESA AL CODIGO QR E INGRESA ESTE NUMERO #22617qrco.de/preguntar