SlideShare una empresa de Scribd logo
HARDENING DE SERVIDORES LINUX

Hardening de
Servidores Linux
HARDENING DE SERVIDORES LINUX

Hardening de
Servidores Linux
IANUX

SALTALUG

IT & Security Solutions

Comunidad de Software Libre

http://ianux.com
UID0

http://saltalug.org.ar

Security Conference

http://uid0.com.ar
Oscar Gonzalez
Sr. IT Specialist
http://ar.linkedin.com/in/gonzalezrenato/
Debian Consultant Argentina
http://www.debian.org/consultants/#AR
oscar.gonzalez@ianux.com.ar
HARDENING DE SERVIDORES LINUX

Hardening de
Servidores Linux
Agenda:
•

Introducción al Hardening

•

Protección física

•

Protección Perimetral

•

Protección de la capa de aplicación

•

Fortificación Entorno LAMP (Mysql PHP Apache)

•

Fortificación SSH

•

Logging, File Integrity, Particionado

•

Monitoreo y Backups

•

Auditoria para Hardening
HARDENING DE SERVIDORES LINUX

Introducción al
Hardening
“Hardening” de Sistemas es una estrategia defensiva que protege contra los ataques
removiendo servicios vulnerables e innecesarios, cerrando “fallos” de seguridad y
asegurando los controles de acceso. Este proceso incluye la evaluación de arquitectura
de seguridad de una empresa y la auditoría de la configuración de sus sistemas con el fin
de desarrollar y implementar procedimientos de consolidación para asegurar sus recursos
críticos. Estos procedimientos son personalizados para cada de negocios, actualizado
como las amenazas evolucionan y automatizado para una fácil implementación y
auditoría.
1. Defensa en profundidad
Procedimientos, concienciación y políticas
Seguridad del perímetro
Seguridad en la red interna
Seguridad a nivel de servidor
Seguridad en la aplicación
2. Mínimo privilegio posible
3. Mínimo punto de exposición
4. Gestión de riesgos
Protección Física
HARDENING DE SERVIDORES LINUX

El lugar donde este colocado el servidor es sumamente importante para su
estabilidad. El servidor necesita estar protegido contra distintos factores
externos que pueden alterar el funcionamiento de la red.

1. La protección contra la electricidad
estática y el calor.
2. La protección contra los ruidos
eléctricos, los altibajos de tensión
y los cortes de corriente.
3. Protección contra suciedad
4. Seguridad contra incendios y agua
5. Protección contra robo y destrucción
6. Protección acceso al mantenimiento
del servidor
7. Bios: upgraded - password protected – turn off all device non used
Protección Perimetral
HARDENING DE SERVIDORES LINUX

Esto nos permite definir niveles de confianza, permitiendo el acceso de
determinados usuarios internos o externos a determinados servicios, y
denegando cualquier tipo de acceso a otros.
1. Centralizar el control de acceso para mantener
a los intrusos fuera, permitiendo que la gente
de dentro trabaje normalmente.
2. Rechazar conexiones a servicios comprometidos.
3. Permitir sólo ciertos tipos de tráfico
(p. ej. correo electrónico) o entre ciertos nodos.
4. Proporcionar un único punto de interconexión con
el exterior.
5. Redirigir el tráfico entrante a los sistemas adecuados
dentro de la intranet.
6. Ocultar sistemas o servicios vulnerables que no
son fáciles de proteger desde Internet.
7. Auditar el tráfico entre el exterior y el interior.
8. Ocultar información: nombres de sistemas,
topología de la red, tipos de dispositivos de red,
cuentas de usuarios internos.

Firewall, Routers, VPN, IDS, DMZ,
Subredes, Switchs ,Monitoreo de la RED
HARDENING DE SERVIDORES LINUX

Protección de la capa
Aplicación
Esto nos permite definir niveles de confianza, permitiendo el acceso de
determinados usuarios internos o externos a determinados servicios, y
denegando cualquier tipo de acceso a otros.

0. Grub, Lilo - password protected
1. turn off all USB ports
2. Jaulas con chroot
3. Permisos especiales, atributos y ACL
4. Elevación de privilegios con sudo
5. Limitación de recursos
6. Port-Knocking
7. Actualizaciones/upgrades de forma estable en Debian
8. HIDS Host-based Intrusion Detection System
9. Hardenizar cada uno de los servicios

“Ejemplos de diferentes
configuraciones desde terminal”
Fortificación Entorno
LAMP
HARDENING DE SERVIDORES LINUX

Algunos Tips

1. MySQL
Dirección de escucha
Carga de ficheros locales
Renombrar el usuario root
comprobar existencia de usuarios anonimos
Controlar los privilegios de los usuarios
mysql_secure_installation
2. PHP
expose_php
display_errors
open_basedir
disable_functions
Deshabilitar RFI
Suhosin

3. Apache
Configuraciones globales
Deshabilitar informacion ofrecida por el servidor
Configuraciones por contexto
mod_security
HTTPS

“Ejemplos de diferentes
configuraciones desde terminal”
HARDENING DE SERVIDORES LINUX

Fortificación SSH
1. Introducción a SSH
Funcionamiento del protocolo
la primera conexion
Configuración del servicio
Archivos del servicio
Directivas básicas
Autenticación con contraseña
Clave pública y clave privada
2. Aplicaciones con SSH
Copia segura con SCP
FTP seguro con SFTP
SSHFS: El sistema de archivos de SSH
X11 forwarding con SSH
Fail2ban
3. SSH: tunneling
Tuneles TCP/IP con port forwarding mediante SSH
SOCKS con SSH : Habilitando y utilizando SOCKS

“Ejemplos de diferentes
configuraciones desde terminal”
HARDENING DE SERVIDORES LINUX

Logging, File Integrity,
Particionado
Logging
1. Rsyslogd
Clasificaciones de mensajes. Facility y severity
Configuracion de rsyslogd
2. Rotacion de logs
Ficheros de configuracion de logrotate
Output channels y logrotate
3. Logging remoto o centralizado
File Integrity
AFICK
AIDE
Osiris
Samhain
Tripwire
Particionado
opciones de montaje
Encriptacion de discos

“Ejemplos de diferentes
configuraciones desde terminal”
HARDENING DE SERVIDORES LINUX

Monitoreo y Backups
Monitoreo
1. Nagios
2. Monit
3. Custom Scripts
Backups
1. Bacula
2. Custom Scripts

“Ejemplos de diferentes
configuraciones desde terminal”
HARDENING DE SERVIDORES LINUX

Auditoría para
Hardening
Tools
1. lynis
2. Bastile linux

“Ejemplos de diferentes
configuraciones desde terminal”
HARDENING DE SERVIDORES LINUX

Temas
System Tools
Boot and services
Kernel
Memory and processes
Users, Groups and Authentication
Shells
File systems
Storage
NFS
Software: name services
Ports and packages
Networking
Printers and Spools
Software: e-mail and messaging
Software: firewalls
Software: webserver
SSH Support
SNMP Support
Databases
LDAP Services
Software: PHP
Squid Support
Logging and files
Insecure services

Banners and identification
Scheduled tasks
Accounting
Time and Synchronization
Cryptography
Virtualization
Security frameworks
Software: file integrity
Software: Malware scanners
System Tools
Home directories
Kernel Hardening
Hardening
HARDENING DE SERVIDORES LINUX

Dudas? | Preguntas?
HARDENING DE SERVIDORES LINUX

Gracias por su tiempo!!!
Espero que les haya servido

Hasta la próxima ....

Más contenido relacionado

La actualidad más candente

Introduction to tcpdump
Introduction to tcpdumpIntroduction to tcpdump
Introduction to tcpdump
Lev Walkin
 
Network Monitoring System
Network Monitoring SystemNetwork Monitoring System
Network Monitoring System
Rofiq Fauzi
 
Cisco ASA Firewalls
Cisco ASA FirewallsCisco ASA Firewalls
Cisco ASA Firewalls
Bryley Systems Inc.
 
Tcpdump
TcpdumpTcpdump
Tcpdump
Tensor
 
Introduction to HTTP/2
Introduction to HTTP/2Introduction to HTTP/2
Introduction to HTTP/2
Ido Flatow
 
Hadoop REST API Security with Apache Knox Gateway
Hadoop REST API Security with Apache Knox GatewayHadoop REST API Security with Apache Knox Gateway
Hadoop REST API Security with Apache Knox Gateway
DataWorks Summit
 
01- intro to firewall concepts
01- intro to firewall concepts01- intro to firewall concepts
01- intro to firewall concepts
Mostafa El Lathy
 
High-speed Database Throughput Using Apache Arrow Flight SQL
High-speed Database Throughput Using Apache Arrow Flight SQLHigh-speed Database Throughput Using Apache Arrow Flight SQL
High-speed Database Throughput Using Apache Arrow Flight SQL
ScyllaDB
 
Servidor de archivos y de datos
Servidor de archivos y de datosServidor de archivos y de datos
Servidor de archivos y de datos
JulioLeon96
 
Wireshark
WiresharkWireshark
Wireshark
lakshya dubey
 
How to prevent ssh-tunneling using Palo Alto Networks NGFW
How to prevent ssh-tunneling using Palo Alto Networks NGFWHow to prevent ssh-tunneling using Palo Alto Networks NGFW
How to prevent ssh-tunneling using Palo Alto Networks NGFW
Yudi Arijanto
 
Putting Firepower Into The Next Generation Firewall
Putting Firepower Into The Next Generation FirewallPutting Firepower Into The Next Generation Firewall
Putting Firepower Into The Next Generation Firewall
Cisco Canada
 
Practical Problem Solving with Apache Hadoop & Pig
Practical Problem Solving with Apache Hadoop & PigPractical Problem Solving with Apache Hadoop & Pig
Practical Problem Solving with Apache Hadoop & Pig
Milind Bhandarkar
 
Prometheus 101
Prometheus 101Prometheus 101
Prometheus 101
Paul Podolny
 
HTTP/3
HTTP/3HTTP/3
Hadoop security
Hadoop securityHadoop security
Hadoop security
Shivaji Dutta
 
Rest API Security - A quick understanding of Rest API Security
Rest API Security - A quick understanding of Rest API SecurityRest API Security - A quick understanding of Rest API Security
Rest API Security - A quick understanding of Rest API Security
Mohammed Fazuluddin
 
Redecentralizing the Web: IPFS and Filecoin
Redecentralizing the Web: IPFS and FilecoinRedecentralizing the Web: IPFS and Filecoin
Redecentralizing the Web: IPFS and Filecoin
Facultad de Informática UCM
 
Nikto
NiktoNikto
KSQL and Security: The Current State of Affairs (Victoria Xia, Confluent) Kaf...
KSQL and Security: The Current State of Affairs (Victoria Xia, Confluent) Kaf...KSQL and Security: The Current State of Affairs (Victoria Xia, Confluent) Kaf...
KSQL and Security: The Current State of Affairs (Victoria Xia, Confluent) Kaf...
confluent
 

La actualidad más candente (20)

Introduction to tcpdump
Introduction to tcpdumpIntroduction to tcpdump
Introduction to tcpdump
 
Network Monitoring System
Network Monitoring SystemNetwork Monitoring System
Network Monitoring System
 
Cisco ASA Firewalls
Cisco ASA FirewallsCisco ASA Firewalls
Cisco ASA Firewalls
 
Tcpdump
TcpdumpTcpdump
Tcpdump
 
Introduction to HTTP/2
Introduction to HTTP/2Introduction to HTTP/2
Introduction to HTTP/2
 
Hadoop REST API Security with Apache Knox Gateway
Hadoop REST API Security with Apache Knox GatewayHadoop REST API Security with Apache Knox Gateway
Hadoop REST API Security with Apache Knox Gateway
 
01- intro to firewall concepts
01- intro to firewall concepts01- intro to firewall concepts
01- intro to firewall concepts
 
High-speed Database Throughput Using Apache Arrow Flight SQL
High-speed Database Throughput Using Apache Arrow Flight SQLHigh-speed Database Throughput Using Apache Arrow Flight SQL
High-speed Database Throughput Using Apache Arrow Flight SQL
 
Servidor de archivos y de datos
Servidor de archivos y de datosServidor de archivos y de datos
Servidor de archivos y de datos
 
Wireshark
WiresharkWireshark
Wireshark
 
How to prevent ssh-tunneling using Palo Alto Networks NGFW
How to prevent ssh-tunneling using Palo Alto Networks NGFWHow to prevent ssh-tunneling using Palo Alto Networks NGFW
How to prevent ssh-tunneling using Palo Alto Networks NGFW
 
Putting Firepower Into The Next Generation Firewall
Putting Firepower Into The Next Generation FirewallPutting Firepower Into The Next Generation Firewall
Putting Firepower Into The Next Generation Firewall
 
Practical Problem Solving with Apache Hadoop & Pig
Practical Problem Solving with Apache Hadoop & PigPractical Problem Solving with Apache Hadoop & Pig
Practical Problem Solving with Apache Hadoop & Pig
 
Prometheus 101
Prometheus 101Prometheus 101
Prometheus 101
 
HTTP/3
HTTP/3HTTP/3
HTTP/3
 
Hadoop security
Hadoop securityHadoop security
Hadoop security
 
Rest API Security - A quick understanding of Rest API Security
Rest API Security - A quick understanding of Rest API SecurityRest API Security - A quick understanding of Rest API Security
Rest API Security - A quick understanding of Rest API Security
 
Redecentralizing the Web: IPFS and Filecoin
Redecentralizing the Web: IPFS and FilecoinRedecentralizing the Web: IPFS and Filecoin
Redecentralizing the Web: IPFS and Filecoin
 
Nikto
NiktoNikto
Nikto
 
KSQL and Security: The Current State of Affairs (Victoria Xia, Confluent) Kaf...
KSQL and Security: The Current State of Affairs (Victoria Xia, Confluent) Kaf...KSQL and Security: The Current State of Affairs (Victoria Xia, Confluent) Kaf...
KSQL and Security: The Current State of Affairs (Victoria Xia, Confluent) Kaf...
 

Destacado

Hardening De Servidores GNU/Linux
Hardening De Servidores GNU/LinuxHardening De Servidores GNU/Linux
Hardening De Servidores GNU/Linux
Avanet
 
Hardening windows
Hardening windowsHardening windows
Hardening windows
Jose Manuel Acosta
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
Universidad Central Del Ecuador
 
Wordpressa - Hardening en Wordpress
Wordpressa - Hardening en WordpressWordpressa - Hardening en Wordpress
Wordpressa - Hardening en Wordpress
QuantiKa14
 
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
RootedCON
 
Seguridad Perimetral - Oscar Gonzalez, Miguel Tolaba
Seguridad Perimetral - Oscar Gonzalez, Miguel TolabaSeguridad Perimetral - Oscar Gonzalez, Miguel Tolaba
Seguridad Perimetral - Oscar Gonzalez, Miguel Tolaba
Oscar Gonzalez
 
Índice Libro "macOS Hacking" de 0xWord
Índice Libro "macOS Hacking" de 0xWordÍndice Libro "macOS Hacking" de 0xWord
Índice Libro "macOS Hacking" de 0xWord
Telefónica
 
Capitulo I: Blog
Capitulo I: BlogCapitulo I: Blog
Capitulo I: Blog
HackerEpico
 
Seguridad fisica y logica
Seguridad fisica y logicaSeguridad fisica y logica
Seguridad fisica y logica
Ing. LucioJAP
 
Introducción a la Seguridad Perimetral
Introducción a la Seguridad PerimetralIntroducción a la Seguridad Perimetral
Introducción a la Seguridad Perimetral
Esteban Saavedra
 

Destacado (10)

Hardening De Servidores GNU/Linux
Hardening De Servidores GNU/LinuxHardening De Servidores GNU/Linux
Hardening De Servidores GNU/Linux
 
Hardening windows
Hardening windowsHardening windows
Hardening windows
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Wordpressa - Hardening en Wordpress
Wordpressa - Hardening en WordpressWordpressa - Hardening en Wordpress
Wordpressa - Hardening en Wordpress
 
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
 
Seguridad Perimetral - Oscar Gonzalez, Miguel Tolaba
Seguridad Perimetral - Oscar Gonzalez, Miguel TolabaSeguridad Perimetral - Oscar Gonzalez, Miguel Tolaba
Seguridad Perimetral - Oscar Gonzalez, Miguel Tolaba
 
Índice Libro "macOS Hacking" de 0xWord
Índice Libro "macOS Hacking" de 0xWordÍndice Libro "macOS Hacking" de 0xWord
Índice Libro "macOS Hacking" de 0xWord
 
Capitulo I: Blog
Capitulo I: BlogCapitulo I: Blog
Capitulo I: Blog
 
Seguridad fisica y logica
Seguridad fisica y logicaSeguridad fisica y logica
Seguridad fisica y logica
 
Introducción a la Seguridad Perimetral
Introducción a la Seguridad PerimetralIntroducción a la Seguridad Perimetral
Introducción a la Seguridad Perimetral
 

Similar a Hardening de Servidores Linux Oscar Gonzalez

Clase 03
Clase 03Clase 03
Clase 03
Titiushko Jazz
 
Clase 03
Clase 03Clase 03
Clase 03
Titiushko Jazz
 
Ud7 Redes seguras
Ud7 Redes segurasUd7 Redes seguras
Ud7 Redes seguras
carmenrico14
 
Redes del computador unidad 3
Redes del computador unidad 3Redes del computador unidad 3
Redes del computador unidad 3
AngelSoto104
 
Seguridad de las redes
Seguridad de las redesSeguridad de las redes
Seguridad de las redes
ManOlivier
 
¿Qué es un firewall ?
¿Qué es un firewall ?¿Qué es un firewall ?
¿Qué es un firewall ?
EIYSC
 
Integración de sistemas y Firewalls
Integración de sistemas y FirewallsIntegración de sistemas y Firewalls
Integración de sistemas y Firewalls
Óscar Humberto Díaz Jurado
 
Aplicaciones de Redes - ISC - UCQ - Presentación Final
Aplicaciones de Redes - ISC - UCQ - Presentación FinalAplicaciones de Redes - ISC - UCQ - Presentación Final
Aplicaciones de Redes - ISC - UCQ - Presentación Final
Giovanni Orozco
 
Redes del Computador — UNIDAD III: Seguridad de las redes
Redes del Computador — UNIDAD III: Seguridad de las redesRedes del Computador — UNIDAD III: Seguridad de las redes
Redes del Computador — UNIDAD III: Seguridad de las redes
José Villalobos
 
VPN / VLAN por Frey Alfonso Santamaría Buitrago
VPN / VLAN por Frey Alfonso Santamaría BuitragoVPN / VLAN por Frey Alfonso Santamaría Buitrago
VPN / VLAN por Frey Alfonso Santamaría Buitrago
UPTC
 
Unidad iii seguridad de las redes
Unidad iii seguridad de las redesUnidad iii seguridad de las redes
Unidad iii seguridad de las redes
MaraGarcia60
 
Seguridad de los dispositivos de red
Seguridad de los dispositivos de redSeguridad de los dispositivos de red
Seguridad de los dispositivos de red
Carlitos Alvarado
 
Seguridad4
Seguridad4Seguridad4
Seguridad4
Oscar Mauricio
 
Seguridad
SeguridadSeguridad
Seguridad
Naydu Lopez
 
Firewall Disertacion
Firewall DisertacionFirewall Disertacion
Firewall Disertacion
squall01
 
Firewall Disertacion
Firewall DisertacionFirewall Disertacion
Firewall Disertacion
guest96dedf4
 
Lizeth gonzalez-campos
Lizeth gonzalez-camposLizeth gonzalez-campos
Lizeth gonzalez-campos
Marcos de Jesus Alonso Hernandez
 
Vc4 nm73 eq4-ssh
Vc4 nm73 eq4-sshVc4 nm73 eq4-ssh
Vc4 nm73 eq4-ssh
17oswaldo
 
VC4NM73 EQ4-SSH
VC4NM73 EQ4-SSHVC4NM73 EQ4-SSH
VC4NM73 EQ4-SSH
luigiHdz
 
Modulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LANModulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LAN
srkamote
 

Similar a Hardening de Servidores Linux Oscar Gonzalez (20)

Clase 03
Clase 03Clase 03
Clase 03
 
Clase 03
Clase 03Clase 03
Clase 03
 
Ud7 Redes seguras
Ud7 Redes segurasUd7 Redes seguras
Ud7 Redes seguras
 
Redes del computador unidad 3
Redes del computador unidad 3Redes del computador unidad 3
Redes del computador unidad 3
 
Seguridad de las redes
Seguridad de las redesSeguridad de las redes
Seguridad de las redes
 
¿Qué es un firewall ?
¿Qué es un firewall ?¿Qué es un firewall ?
¿Qué es un firewall ?
 
Integración de sistemas y Firewalls
Integración de sistemas y FirewallsIntegración de sistemas y Firewalls
Integración de sistemas y Firewalls
 
Aplicaciones de Redes - ISC - UCQ - Presentación Final
Aplicaciones de Redes - ISC - UCQ - Presentación FinalAplicaciones de Redes - ISC - UCQ - Presentación Final
Aplicaciones de Redes - ISC - UCQ - Presentación Final
 
Redes del Computador — UNIDAD III: Seguridad de las redes
Redes del Computador — UNIDAD III: Seguridad de las redesRedes del Computador — UNIDAD III: Seguridad de las redes
Redes del Computador — UNIDAD III: Seguridad de las redes
 
VPN / VLAN por Frey Alfonso Santamaría Buitrago
VPN / VLAN por Frey Alfonso Santamaría BuitragoVPN / VLAN por Frey Alfonso Santamaría Buitrago
VPN / VLAN por Frey Alfonso Santamaría Buitrago
 
Unidad iii seguridad de las redes
Unidad iii seguridad de las redesUnidad iii seguridad de las redes
Unidad iii seguridad de las redes
 
Seguridad de los dispositivos de red
Seguridad de los dispositivos de redSeguridad de los dispositivos de red
Seguridad de los dispositivos de red
 
Seguridad4
Seguridad4Seguridad4
Seguridad4
 
Seguridad
SeguridadSeguridad
Seguridad
 
Firewall Disertacion
Firewall DisertacionFirewall Disertacion
Firewall Disertacion
 
Firewall Disertacion
Firewall DisertacionFirewall Disertacion
Firewall Disertacion
 
Lizeth gonzalez-campos
Lizeth gonzalez-camposLizeth gonzalez-campos
Lizeth gonzalez-campos
 
Vc4 nm73 eq4-ssh
Vc4 nm73 eq4-sshVc4 nm73 eq4-ssh
Vc4 nm73 eq4-ssh
 
VC4NM73 EQ4-SSH
VC4NM73 EQ4-SSHVC4NM73 EQ4-SSH
VC4NM73 EQ4-SSH
 
Modulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LANModulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LAN
 

Hardening de Servidores Linux Oscar Gonzalez

  • 1. HARDENING DE SERVIDORES LINUX Hardening de Servidores Linux
  • 2. HARDENING DE SERVIDORES LINUX Hardening de Servidores Linux IANUX SALTALUG IT & Security Solutions Comunidad de Software Libre http://ianux.com UID0 http://saltalug.org.ar Security Conference http://uid0.com.ar Oscar Gonzalez Sr. IT Specialist http://ar.linkedin.com/in/gonzalezrenato/ Debian Consultant Argentina http://www.debian.org/consultants/#AR oscar.gonzalez@ianux.com.ar
  • 3. HARDENING DE SERVIDORES LINUX Hardening de Servidores Linux Agenda: • Introducción al Hardening • Protección física • Protección Perimetral • Protección de la capa de aplicación • Fortificación Entorno LAMP (Mysql PHP Apache) • Fortificación SSH • Logging, File Integrity, Particionado • Monitoreo y Backups • Auditoria para Hardening
  • 4. HARDENING DE SERVIDORES LINUX Introducción al Hardening “Hardening” de Sistemas es una estrategia defensiva que protege contra los ataques removiendo servicios vulnerables e innecesarios, cerrando “fallos” de seguridad y asegurando los controles de acceso. Este proceso incluye la evaluación de arquitectura de seguridad de una empresa y la auditoría de la configuración de sus sistemas con el fin de desarrollar y implementar procedimientos de consolidación para asegurar sus recursos críticos. Estos procedimientos son personalizados para cada de negocios, actualizado como las amenazas evolucionan y automatizado para una fácil implementación y auditoría. 1. Defensa en profundidad Procedimientos, concienciación y políticas Seguridad del perímetro Seguridad en la red interna Seguridad a nivel de servidor Seguridad en la aplicación 2. Mínimo privilegio posible 3. Mínimo punto de exposición 4. Gestión de riesgos
  • 5. Protección Física HARDENING DE SERVIDORES LINUX El lugar donde este colocado el servidor es sumamente importante para su estabilidad. El servidor necesita estar protegido contra distintos factores externos que pueden alterar el funcionamiento de la red. 1. La protección contra la electricidad estática y el calor. 2. La protección contra los ruidos eléctricos, los altibajos de tensión y los cortes de corriente. 3. Protección contra suciedad 4. Seguridad contra incendios y agua 5. Protección contra robo y destrucción 6. Protección acceso al mantenimiento del servidor 7. Bios: upgraded - password protected – turn off all device non used
  • 6. Protección Perimetral HARDENING DE SERVIDORES LINUX Esto nos permite definir niveles de confianza, permitiendo el acceso de determinados usuarios internos o externos a determinados servicios, y denegando cualquier tipo de acceso a otros. 1. Centralizar el control de acceso para mantener a los intrusos fuera, permitiendo que la gente de dentro trabaje normalmente. 2. Rechazar conexiones a servicios comprometidos. 3. Permitir sólo ciertos tipos de tráfico (p. ej. correo electrónico) o entre ciertos nodos. 4. Proporcionar un único punto de interconexión con el exterior. 5. Redirigir el tráfico entrante a los sistemas adecuados dentro de la intranet. 6. Ocultar sistemas o servicios vulnerables que no son fáciles de proteger desde Internet. 7. Auditar el tráfico entre el exterior y el interior. 8. Ocultar información: nombres de sistemas, topología de la red, tipos de dispositivos de red, cuentas de usuarios internos. Firewall, Routers, VPN, IDS, DMZ, Subredes, Switchs ,Monitoreo de la RED
  • 7. HARDENING DE SERVIDORES LINUX Protección de la capa Aplicación Esto nos permite definir niveles de confianza, permitiendo el acceso de determinados usuarios internos o externos a determinados servicios, y denegando cualquier tipo de acceso a otros. 0. Grub, Lilo - password protected 1. turn off all USB ports 2. Jaulas con chroot 3. Permisos especiales, atributos y ACL 4. Elevación de privilegios con sudo 5. Limitación de recursos 6. Port-Knocking 7. Actualizaciones/upgrades de forma estable en Debian 8. HIDS Host-based Intrusion Detection System 9. Hardenizar cada uno de los servicios “Ejemplos de diferentes configuraciones desde terminal”
  • 8. Fortificación Entorno LAMP HARDENING DE SERVIDORES LINUX Algunos Tips 1. MySQL Dirección de escucha Carga de ficheros locales Renombrar el usuario root comprobar existencia de usuarios anonimos Controlar los privilegios de los usuarios mysql_secure_installation 2. PHP expose_php display_errors open_basedir disable_functions Deshabilitar RFI Suhosin 3. Apache Configuraciones globales Deshabilitar informacion ofrecida por el servidor Configuraciones por contexto mod_security HTTPS “Ejemplos de diferentes configuraciones desde terminal”
  • 9. HARDENING DE SERVIDORES LINUX Fortificación SSH 1. Introducción a SSH Funcionamiento del protocolo la primera conexion Configuración del servicio Archivos del servicio Directivas básicas Autenticación con contraseña Clave pública y clave privada 2. Aplicaciones con SSH Copia segura con SCP FTP seguro con SFTP SSHFS: El sistema de archivos de SSH X11 forwarding con SSH Fail2ban 3. SSH: tunneling Tuneles TCP/IP con port forwarding mediante SSH SOCKS con SSH : Habilitando y utilizando SOCKS “Ejemplos de diferentes configuraciones desde terminal”
  • 10. HARDENING DE SERVIDORES LINUX Logging, File Integrity, Particionado Logging 1. Rsyslogd Clasificaciones de mensajes. Facility y severity Configuracion de rsyslogd 2. Rotacion de logs Ficheros de configuracion de logrotate Output channels y logrotate 3. Logging remoto o centralizado File Integrity AFICK AIDE Osiris Samhain Tripwire Particionado opciones de montaje Encriptacion de discos “Ejemplos de diferentes configuraciones desde terminal”
  • 11. HARDENING DE SERVIDORES LINUX Monitoreo y Backups Monitoreo 1. Nagios 2. Monit 3. Custom Scripts Backups 1. Bacula 2. Custom Scripts “Ejemplos de diferentes configuraciones desde terminal”
  • 12. HARDENING DE SERVIDORES LINUX Auditoría para Hardening Tools 1. lynis 2. Bastile linux “Ejemplos de diferentes configuraciones desde terminal”
  • 13. HARDENING DE SERVIDORES LINUX Temas System Tools Boot and services Kernel Memory and processes Users, Groups and Authentication Shells File systems Storage NFS Software: name services Ports and packages Networking Printers and Spools Software: e-mail and messaging Software: firewalls Software: webserver SSH Support SNMP Support Databases LDAP Services Software: PHP Squid Support Logging and files Insecure services Banners and identification Scheduled tasks Accounting Time and Synchronization Cryptography Virtualization Security frameworks Software: file integrity Software: Malware scanners System Tools Home directories Kernel Hardening Hardening
  • 14. HARDENING DE SERVIDORES LINUX Dudas? | Preguntas?
  • 15. HARDENING DE SERVIDORES LINUX Gracias por su tiempo!!! Espero que les haya servido Hasta la próxima ....