Specific tool to audit and track all the administrators user's activity. We can control who is on what system and what is he/she doing.
It can record all the activity in X11/Windows applications and Telnet/SSH sessions, it can control file transfers too.
1. Single Point of Audit &
Control (SPAC)
(Control Administrativo en el CPD)
Manuel Gil
Consultor Seguridad
SUN Microsystems Ibérica
1
2. Contenido
• Problema en la Gestión de Grandes CPD
• Características Comunes
• Marco de Seguridad del CPD
• Objetivos SPAC
• Piezas SPAC
• Mapa de Procesos
• Configuración SPAC
• Sistema Alertas
• Portal Explotación Logs
Sun Confidential: Internal Only 2
3. Problema de seguridad en el CPD
• Mecanismos de control de acceso.
• Confidencialidad en Comunicaciones
• Controlar la identidad de los
Administradores
• Asignación de privilegios a usuarios
• Repositorios centralizados de
información de los usuarios.
• Configuración segura de los
servidores.
• Verificación de integridad en los
servidores.
• Detección de intrusos
• Auditoria detallada de la operación de
los usuarios.
• ....
Sun Confidential: Internal Only 3
5. Necesidades de Seguridad en el CPD
Características Comunes
• Mecanismos de Control de Usuarios Administrativos.
• Mecanismos de Control de Sistema / Red.
• Mecanismos de Control de Auditoría.
Solución
• SPAC (Single Point of Audit & Control)
Sun Confidential: Internal Only 5
7. SPAC (Single Point of Audit & Control)
Características
• Portal de acceso a las aplicaciones administrativas
• Unificacion de identidades de administradores
• Unificación de herramientas de gestión/administración
• Auditoría de actividades usuarios administrativos.
• Centralización logs y sesiones de usuarios
• Repositorio central de información
• Alertas ante eventos.
• Monitor actividades sospechosas
• Reproducción sesiones usuarios (video/caracteres)
• ...
Sun Confidential: Internal Only 7
8. Objetivos de SPAC
• Autenticación: Ofrecemos conocimiento de la
identidad real del usuario administrativo en todo
momento.
• Integridad: Seguridad en la conexión, todos los
protocolos usados entre los usuarios
administradores y las pasarelas, serán seguros y
basados en estándares.
Sun Confidential: Internal Only 8
9. Objetivos de SPAC
• Confidencialidad: Mediante los canales seguros
de comunicación, será imposible la copia, traspaso
o alteración de la información enviada/recibida.
• Auditoría: Será posible detectar las actividades de
los usuarios y acciones realizadas en sistemas
remotos, reproducirlas y utilizarlas en análisis
posteriores tanto en tiempo real como mediante la
búsqueda de actividades en logs históricos.
Sun Confidential: Internal Only 9
10. Piezas de SPAC
• Repositorio de Usuarios: Se crea un repositorio
de usuarios administrativos centralizado, basado en
LDAP.
• Portal: Se implementa un portal de acceso a las
aplicaciones administrativas internas del CPD
mediante protocolos seguros y estándares
HTTP/HTTPS.
• Sistemas Auditores: Se fijan controles de auditoría
y acceso, integrado perfectamente en el portal, con
captura de videos de sesiones X11/Windows y
captura de sesiones SSH/Telnet completas;
restricción de accesos; trabajo en equipo.
Sun Confidential: Internal Only 10
11. Piezas de SPAC
• Centralización Logs/BBDD: Toda la información
relativa a conexiones se almacena en un repositorio
de información centralizado y todos los accesos son
registrados en Base de Datos.
• Portal Explotación: Plataforma de administración
de la actividad en las pasarelas; análisis de logs,
búsqueda en histórico, monitor de actividad, gestor
de alarmas y eventos; reproducción de sesiones
X11/Windows, SSH/Telnet; y generación de
informes diarios, semanales, mensuales y bajo
demanda de eventos y actividad
Sun Confidential: Internal Only 11
13. Pantalla Principal Portal
Expiración de Password
Grupo Principal - Rol
Aplicaciones
Sun Confidential: Internal Only 13
14. Procesos de la Plataforma
• Planificación del Servicio. Creación de límites y
derechos.
• Alta Usuarios/Grupos/Roles. División de usuarios
adminsitrativos mediante grupos/roles.
• Configuración Aplicaciones. Definición de los
elementos físicos del servicio.
• Configuración Auditoría. Perfiles avanzados de
las aplicaciones
Sun Confidential: Internal Only 14
17. Usuarios / Grupos / Roles
• Una vez planificado el servicio, definiremos en
elLDAP, el grupo principal, roles que asumirá cada
usuario y finalmente los usuarios del servicio a
administrar.
Acciones LDAP
Grupo Principal Rol / Grupo Particular Usuarios
Plataforma AAA (usuarios: Aplicaciones UNIX = pAunix juan
juan, antonio y pedro ) = Aplicaciones X11 = pAxapps juan, antonio
plataforma-AAA
Aplicaciones HTTP = pAhttp pedro
Sun Confidential: Internal Only 17
18. Configuración Aplicaciones
• A través del Portal se darán de alta todos los Nodos
y Aplicaciones que componen la plataforma a
administrar.
Acciones Portal
Aplicaciones Sistemas
SSH UNIX1
SSH UNIX2
admintool UNIX1
firefox UNIX1
xload UNIX2
HTTP http://unix2:4556/admin/
Sun Confidential: Internal Only 18
19. Integración con Directorio
• Lo normal será autorizar por grupos/roles:
cn=pAunix,ou=group,dc=prod,dc=airtel,dc=es
• El grupo “pAunix” tiene como miembros:
ldap:///dc=prod,dc=airtel,dc=es??sub?
(&(vfsgdgrupo=plataforma-AAA)(vfsgdrol=pAunix))
Sun Confidential: Internal Only 19
20. Configuración Auditoría
Perflles Avanzados de la Aplicación
• Gestión: Podemos conocer en cualquier momento,
las aplicaciones que se están ejecutando, por
quien, detenerlas, grabarlas, asistir, ...
• Cooperación: Se pueden establecer programas de
cooperación entre usuarios para el control de las
actividades.
• Control: Podemos prefijar franjas horarias de
trabajo para los usuarios de la plataforma.
Sun Confidential: Internal Only 20
21. Configuración Auditoría
Perflles Avanzados de la Aplicación
• Grabación Sesiones Gráficas: Todas las
aplicaciones gráficas pueden ser grabadas en
formato video.
• Captura Sesiones (SSH/Telnet): Todas las
aplicaciones en modo caracter, son capturadas y
pueden ser reproducidas.
• Transferencia de Ficheros: Se permite la
transferencia de ficheros entre sistemas internos y
los puestos de los usuarios, con auditoría.
Sun Confidential: Internal Only 21
23. Aplicaciones HTTP
• Todo el tráfico HTTP
es enviado a través
de Proxy Reverse,
con controles de
auditoría y alertas
implementados.
> Alertas de Sitios
> Alertas de
Transferencias
> Alertas de URL's
Sun Confidential: Internal Only 23
25. Alertas y Monitor de Actividades
Sospechosas
• Utilizamos una base de datos (configurable por el cliente)
con nuestras palabras y sistemas reservados, de modo
que podamos generar alarmas en base a ellas.
> A través de aplicaciones modo carácter (SSH/Telnet),
podemos capturar las palabras reservadas escritas en la
sesión para generar alarmas. Por ejemplo palabras como
“pkgadd” y “patchadd” nos alertas sobre quién está instalando
software en el sistema.
> Los sistemas reservados son utilizados por todas las
aplicaciones y generan una alarma por cada conexión a ellos.
Sun Confidential: Internal Only 25
33. Composición Hardware
• 1 ó 2 Sistemas Sun Fire X4500
(x64 Server)
> CPU 2 x AMD Opteron Model Dual
Core 290 (2.8Ghz/1Mb)
> 16Gb RAM
> 48 x 250Gb Discos Internos (SATA) =
12Tb
> 4 x 10/100/1000 BaseT Ethernet Ports
Sun Confidential: Internal Only 33