HA
RD
EN
ING
DE
SE
RV
IDO
RE
S L
INU
X
Hardening de Servidores Linux
Hardening de Servidores Linux
UID0Security Conference
http://uid0.com.ar
Oscar GonzalezSr. IT Specialist
http://ar.linkedin.com/in/gonzalezrenato/Debian Consultant Argentina
http://www.debian.org/consultants/#[email protected]
IANUX IT & Security Solutions
http://ianux.com
SALTALUGComunidad de Software Libre
http://saltalug.org.ar
HA
RD
EN
ING
DE
SE
RV
IDO
RE
S L
INU
X
Hardening de Servidores Linux
Agenda:• Introducción al Hardening
• Protección física
• Protección Perimetral
• Protección de la capa de aplicación
• Fortificación Entorno LAMP (Mysql PHP Apache)
• Fortificación SSH
• Logging, File Integrity, Particionado
• Monitoreo y Backups
• Auditoria para Hardening
HA
RD
EN
ING
DE
SE
RV
IDO
RE
S L
INU
X
“Hardening” de Sistemas es una estrategia defensiva que protege contra los ataques removiendo servicios vulnerables e innecesarios, cerrando “fallos” de seguridad y asegurando los controles de acceso. Este proceso incluye la evaluación de arquitectura de seguridad de una empresa y la auditoría de la configuración de sus sistemas con el fin de desarrollar y implementar procedimientos de consolidación para asegurar sus recursos críticos. Estos procedimientos son personalizados para cada de negocios, actualizado como las amenazas evolucionan y automatizado para una fácil implementación y auditoría.
Introducción al Hardening
HA
RD
EN
ING
DE
SE
RV
IDO
RE
S L
INU
X
1. Defensa en profundidad Procedimientos, concienciación y políticas Seguridad del perímetro Seguridad en la red interna Seguridad a nivel de servidor Seguridad en la aplicación2. Mínimo privilegio posible3. Mínimo punto de exposición4. Gestión de riesgos
Protección FísicaH
AR
DE
NIN
G D
E S
ER
VID
OR
ES
LIN
UX
1. La protección contra la electricidad estática y el calor.2. La protección contra los ruidos eléctricos, los altibajos de tensión y los cortes de corriente.3. Protección contra suciedad4. Seguridad contra incendios y agua5. Protección contra robo y destrucción6. Protección acceso al mantenimiento del servidor7. Bios: upgraded - password protected – turn off all device non used
El lugar donde este colocado el servidor es sumamente importante para su estabilidad. El servidor necesita estar protegido contra distintos factores externos que pueden alterar el funcionamiento de la red.
Protección PerimetralH
AR
DE
NIN
G D
E S
ER
VID
OR
ES
LIN
UX 1. Centralizar el control de acceso para mantener
a los intrusos fuera, permitiendo que la gente de dentro trabaje normalmente.2. Rechazar conexiones a servicios comprometidos.3. Permitir sólo ciertos tipos de tráfico (p. ej. correo electrónico) o entre ciertos nodos.4. Proporcionar un único punto de interconexión con el exterior.5. Redirigir el tráfico entrante a los sistemas adecuados dentro de la intranet.6. Ocultar sistemas o servicios vulnerables que no son fáciles de proteger desde Internet.7. Auditar el tráfico entre el exterior y el interior.8. Ocultar información: nombres de sistemas, topología de la red, tipos de dispositivos de red, cuentas de usuarios internos.
Esto nos permite definir niveles de confianza, permitiendo el acceso de determinados usuarios internos o externos a determinados servicios, y denegando cualquier tipo de acceso a otros.
Firewall, Routers, VPN, IDS, DMZ,
Subredes, Switchs ,Monitoreo de la RED
Protección de la capa Aplicación
HA
RD
EN
ING
DE
SE
RV
IDO
RE
S L
INU
X
0. Grub, Lilo - password protected1. turn off all USB ports2. Jaulas con chroot3. Permisos especiales, atributos y ACL4. Elevación de privilegios con sudo5. Limitación de recursos6. Port-Knocking7. Actualizaciones/upgrades de forma estable en Debian8. HIDS Host-based Intrusion Detection System9. Hardenizar cada uno de los servicios
Esto nos permite definir niveles de confianza, permitiendo el acceso de determinados usuarios internos o externos a determinados servicios, y denegando cualquier tipo de acceso a otros.
“Ejemplos de diferentes configuraciones desde terminal”
HA
RD
EN
ING
DE
SE
RV
IDO
RE
S L
INU
X
Algunos Tips
1. MySQLDirección de escuchaCarga de ficheros localesRenombrar el usuario rootcomprobar existencia de usuarios anonimosControlar los privilegios de los usuariosmysql_secure_installation
2. PHPexpose_phpdisplay_errorsopen_basedirdisable_functionsDeshabilitar RFISuhosin
3. ApacheConfiguraciones globalesDeshabilitar informacion ofrecida por el servidorConfiguraciones por contextomod_securityHTTPS
Fortificación Entorno LAMP
“Ejemplos de diferentes configuraciones desde terminal”
Fortificación SSHH
AR
DE
NIN
G D
E S
ER
VID
OR
ES
LIN
UX
1. Introducción a SSHFuncionamiento del protocolola primera conexionConfiguración del servicioArchivos del servicioDirectivas básicasAutenticación con contraseñaClave pública y clave privada
2. Aplicaciones con SSHCopia segura con SCPFTP seguro con SFTPSSHFS: El sistema de archivos de SSHX11 forwarding con SSHFail2ban
3. SSH: tunnelingTuneles TCP/IP con port forwarding mediante SSHSOCKS con SSH : Habilitando y utilizando SOCKS
“Ejemplos de diferentes configuraciones desde terminal”
Logging, File Integrity, Particionado
HA
RD
EN
ING
DE
SE
RV
IDO
RE
S L
INU
X
Logging1. RsyslogdClasificaciones de mensajes. Facility y severityConfiguracion de rsyslogd2. Rotacion de logsFicheros de configuracion de logrotateOutput channels y logrotate3. Logging remoto o centralizado
File IntegrityAFICKAIDEOsirisSamhainTripwire
Particionadoopciones de montajeEncriptacion de discos
“Ejemplos de diferentes configuraciones desde terminal”
Monitoreo y BackupsH
AR
DE
NIN
G D
E S
ER
VID
OR
ES
LIN
UX
Monitoreo1. Nagios2. Monit3. Custom Scripts
Backups1. Bacula2. Custom Scripts
“Ejemplos de diferentes configuraciones desde terminal”
Auditoría para Hardening
HA
RD
EN
ING
DE
SE
RV
IDO
RE
S L
INU
X
Tools1. lynis2. Bastile linux
“Ejemplos de diferentes configuraciones desde terminal”
TemasH
AR
DE
NIN
G D
E S
ER
VID
OR
ES
LIN
UX
System ToolsBoot and servicesKernelMemory and processesUsers, Groups and AuthenticationShellsFile systemsStorageNFSSoftware: name servicesPorts and packagesNetworkingPrinters and SpoolsSoftware: e-mail and messagingSoftware: firewallsSoftware: webserverSSH SupportSNMP SupportDatabasesLDAP ServicesSoftware: PHPSquid SupportLogging and filesInsecure services
Banners and identificationScheduled tasksAccountingTime and SynchronizationCryptographyVirtualizationSecurity frameworksSoftware: file integritySoftware: Malware scannersSystem ToolsHome directoriesKernel HardeningHardening
HA
RD
EN
ING
DE
SE
RV
IDO
RE
S L
INU
X
Dudas? | Preguntas?
HA
RD
EN
ING
DE
SE
RV
IDO
RE
S L
INU
X
Gracias por su tiempo!!!Espero que les haya servido
Hasta la próxima ....
Top Related