SlideShare uma empresa Scribd logo

Hardening de Servidores Linux Oscar Gonzalez

Oscar Gonzalez
Oscar Gonzalez

El documento describe los pasos para realizar el hardening de servidores Linux. Incluye proteger el servidor físicamente, proteger la red perimetral mediante firewalls y VPN, fortalecer el entorno LAMP y SSH, establecer logging y monitoreo, y realizar auditorías periódicas para verificar la seguridad. El objetivo del hardening es eliminar vulnerabilidades y restringir el acceso a través de la aplicación del principio de privilegios mínimos.

1 de 15
Baixar para ler offline
HARDENING DE SERVIDORES LINUX Hardening de Servidores Linux
HARDENING DE SERVIDORES LINUX Hardening de Servidores Linux IANUX SALTALUG IT & Security Solutions Comunidad de Software Libre http://ianux.com UID0 http://saltalug.org.ar Security Conference http://uid0.com.ar Oscar Gonzalez Sr. IT Specialist http://ar.linkedin.com/in/gonzalezrenato/ Debian Consultant Argentina http://www.debian.org/consultants/#AR oscar.gonzalez@ianux.com.ar
HARDENING DE SERVIDORES LINUX Hardening de Servidores Linux Agenda: • Introducción al Hardening • Protección física • Protección Perimetral • Protección de la capa de aplicación • Fortificación Entorno LAMP (Mysql PHP Apache) • Fortificación SSH • Logging, File Integrity, Particionado • Monitoreo y Backups • Auditoria para Hardening
HARDENING DE SERVIDORES LINUX Introducción al Hardening “Hardening” de Sistemas es una estrategia defensiva que protege contra los ataques removiendo servicios vulnerables e innecesarios, cerrando “fallos” de seguridad y asegurando los controles de acceso. Este proceso incluye la evaluación de arquitectura de seguridad de una empresa y la auditoría de la configuración de sus sistemas con el fin de desarrollar y implementar procedimientos de consolidación para asegurar sus recursos críticos. Estos procedimientos son personalizados para cada de negocios, actualizado como las amenazas evolucionan y automatizado para una fácil implementación y auditoría. 1. Defensa en profundidad Procedimientos, concienciación y políticas Seguridad del perímetro Seguridad en la red interna Seguridad a nivel de servidor Seguridad en la aplicación 2. Mínimo privilegio posible 3. Mínimo punto de exposición 4. Gestión de riesgos
Protección Física HARDENING DE SERVIDORES LINUX El lugar donde este colocado el servidor es sumamente importante para su estabilidad. El servidor necesita estar protegido contra distintos factores externos que pueden alterar el funcionamiento de la red. 1. La protección contra la electricidad estática y el calor. 2. La protección contra los ruidos eléctricos, los altibajos de tensión y los cortes de corriente. 3. Protección contra suciedad 4. Seguridad contra incendios y agua 5. Protección contra robo y destrucción 6. Protección acceso al mantenimiento del servidor 7. Bios: upgraded - password protected – turn off all device non used
Protección Perimetral HARDENING DE SERVIDORES LINUX Esto nos permite definir niveles de confianza, permitiendo el acceso de determinados usuarios internos o externos a determinados servicios, y denegando cualquier tipo de acceso a otros. 1. Centralizar el control de acceso para mantener a los intrusos fuera, permitiendo que la gente de dentro trabaje normalmente. 2. Rechazar conexiones a servicios comprometidos. 3. Permitir sólo ciertos tipos de tráfico (p. ej. correo electrónico) o entre ciertos nodos. 4. Proporcionar un único punto de interconexión con el exterior. 5. Redirigir el tráfico entrante a los sistemas adecuados dentro de la intranet. 6. Ocultar sistemas o servicios vulnerables que no son fáciles de proteger desde Internet. 7. Auditar el tráfico entre el exterior y el interior. 8. Ocultar información: nombres de sistemas, topología de la red, tipos de dispositivos de red, cuentas de usuarios internos. Firewall, Routers, VPN, IDS, DMZ, Subredes, Switchs ,Monitoreo de la RED
HARDENING DE SERVIDORES LINUX Protección de la capa Aplicación Esto nos permite definir niveles de confianza, permitiendo el acceso de determinados usuarios internos o externos a determinados servicios, y denegando cualquier tipo de acceso a otros. 0. Grub, Lilo - password protected 1. turn off all USB ports 2. Jaulas con chroot 3. Permisos especiales, atributos y ACL 4. Elevación de privilegios con sudo 5. Limitación de recursos 6. Port-Knocking 7. Actualizaciones/upgrades de forma estable en Debian 8. HIDS Host-based Intrusion Detection System 9. Hardenizar cada uno de los servicios “Ejemplos de diferentes configuraciones desde terminal”
Fortificación Entorno LAMP HARDENING DE SERVIDORES LINUX Algunos Tips 1. MySQL Dirección de escucha Carga de ficheros locales Renombrar el usuario root comprobar existencia de usuarios anonimos Controlar los privilegios de los usuarios mysql_secure_installation 2. PHP expose_php display_errors open_basedir disable_functions Deshabilitar RFI Suhosin 3. Apache Configuraciones globales Deshabilitar informacion ofrecida por el servidor Configuraciones por contexto mod_security HTTPS “Ejemplos de diferentes configuraciones desde terminal”
HARDENING DE SERVIDORES LINUX Fortificación SSH 1. Introducción a SSH Funcionamiento del protocolo la primera conexion Configuración del servicio Archivos del servicio Directivas básicas Autenticación con contraseña Clave pública y clave privada 2. Aplicaciones con SSH Copia segura con SCP FTP seguro con SFTP SSHFS: El sistema de archivos de SSH X11 forwarding con SSH Fail2ban 3. SSH: tunneling Tuneles TCP/IP con port forwarding mediante SSH SOCKS con SSH : Habilitando y utilizando SOCKS “Ejemplos de diferentes configuraciones desde terminal”
HARDENING DE SERVIDORES LINUX Logging, File Integrity, Particionado Logging 1. Rsyslogd Clasificaciones de mensajes. Facility y severity Configuracion de rsyslogd 2. Rotacion de logs Ficheros de configuracion de logrotate Output channels y logrotate 3. Logging remoto o centralizado File Integrity AFICK AIDE Osiris Samhain Tripwire Particionado opciones de montaje Encriptacion de discos “Ejemplos de diferentes configuraciones desde terminal”
HARDENING DE SERVIDORES LINUX Monitoreo y Backups Monitoreo 1. Nagios 2. Monit 3. Custom Scripts Backups 1. Bacula 2. Custom Scripts “Ejemplos de diferentes configuraciones desde terminal”
HARDENING DE SERVIDORES LINUX Auditoría para Hardening Tools 1. lynis 2. Bastile linux “Ejemplos de diferentes configuraciones desde terminal”
HARDENING DE SERVIDORES LINUX Temas System Tools Boot and services Kernel Memory and processes Users, Groups and Authentication Shells File systems Storage NFS Software: name services Ports and packages Networking Printers and Spools Software: e-mail and messaging Software: firewalls Software: webserver SSH Support SNMP Support Databases LDAP Services Software: PHP Squid Support Logging and files Insecure services Banners and identification Scheduled tasks Accounting Time and Synchronization Cryptography Virtualization Security frameworks Software: file integrity Software: Malware scanners System Tools Home directories Kernel Hardening Hardening
HARDENING DE SERVIDORES LINUX Dudas? | Preguntas?
HARDENING DE SERVIDORES LINUX Gracias por su tiempo!!! Espero que les haya servido Hasta la próxima ....

Recomendados

Presentación-nessus
Presentación-nessusPresentación-nessus
Presentación-nessus
nana nana
 
Hardware firewall
Hardware firewallHardware firewall
Hardware firewall
Subrata Kumer Paul
 
Linux Security, from Concept to Tooling
Linux Security, from Concept to ToolingLinux Security, from Concept to Tooling
Linux Security, from Concept to Tooling
Michael Boelen
 
Mod security
Mod securityMod security
Mod security
Shruthi Kamath
 
Kali linux guia español
Kali linux guia españolKali linux guia español
Kali linux guia español
Homero de la Barra
 
Herramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSHerramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUS
seguridadelinux
 
Database Firewall with Snort
Database Firewall with SnortDatabase Firewall with Snort
Database Firewall with Snort
Narudom Roongsiriwong, CISSP
 
MindMap - Forensics Windows Registry Cheat Sheet
MindMap - Forensics Windows Registry Cheat SheetMindMap - Forensics Windows Registry Cheat Sheet
MindMap - Forensics Windows Registry Cheat Sheet
Juan F. Padilla
 

Recomendados

Presentación-nessus
Presentación-nessusPresentación-nessus
Presentación-nessus
nana nana
 
Hardware firewall
Hardware firewallHardware firewall
Hardware firewall
Subrata Kumer Paul
 
Linux Security, from Concept to Tooling
Linux Security, from Concept to ToolingLinux Security, from Concept to Tooling
Linux Security, from Concept to Tooling
Michael Boelen
 
Mod security
Mod securityMod security
Mod security
Shruthi Kamath
 
Kali linux guia español
Kali linux guia españolKali linux guia español
Kali linux guia español
Homero de la Barra
 
Herramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSHerramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUS
seguridadelinux
 
Database Firewall with Snort
Database Firewall with SnortDatabase Firewall with Snort
Database Firewall with Snort
Narudom Roongsiriwong, CISSP
 
MindMap - Forensics Windows Registry Cheat Sheet
MindMap - Forensics Windows Registry Cheat SheetMindMap - Forensics Windows Registry Cheat Sheet
MindMap - Forensics Windows Registry Cheat Sheet
Juan F. Padilla
 
Workshop 101 - Penetration testing & Vulnerability assessment system
Workshop 101 - Penetration testing & Vulnerability assessment systemWorkshop 101 - Penetration testing & Vulnerability assessment system
Workshop 101 - Penetration testing & Vulnerability assessment system
Dan H
 
Introduction To SELinux
Introduction To SELinuxIntroduction To SELinux
Introduction To SELinux
Rene Cunningham
 
Nessus Software
Nessus SoftwareNessus Software
Nessus Software
Megha Sahu
 
Kali linux useful tools
Kali linux useful toolsKali linux useful tools
Kali linux useful tools
milad mahdavi
 
Types Of Firewall Security
Types Of Firewall SecurityTypes Of Firewall Security
Types Of Firewall Security
iberrywifisecurity
 
Using Splunk for Information Security
Using Splunk for Information SecurityUsing Splunk for Information Security
Using Splunk for Information Security
Splunk
 
IPSec VPN & IPSec Protocols
IPSec VPN & IPSec Protocols IPSec VPN & IPSec Protocols
IPSec VPN & IPSec Protocols
NetProtocol Xpert
 
Security Analyst Workshop - 20190314
Security Analyst Workshop - 20190314Security Analyst Workshop - 20190314
Security Analyst Workshop - 20190314
Florian Roth
 
Finding attacks with these 6 events
Finding attacks with these 6 eventsFinding attacks with these 6 events
Finding attacks with these 6 events
Michael Gough
 
Getting Started with ThousandEyes
Getting Started with ThousandEyesGetting Started with ThousandEyes
Getting Started with ThousandEyes
ThousandEyes
 
Presentación sobre criptografía
Presentación sobre criptografíaPresentación sobre criptografía
Presentación sobre criptografía
Medialab en Matadero
 
Types of attacks and threads
Types of attacks and threadsTypes of attacks and threads
Types of attacks and threads
srivijaymanickam
 
A Threat Hunter Himself
A Threat Hunter HimselfA Threat Hunter Himself
A Threat Hunter Himself
Teymur Kheirkhabarov
 
Hacking With Nmap - Scanning Techniques
Hacking With Nmap - Scanning TechniquesHacking With Nmap - Scanning Techniques
Hacking With Nmap - Scanning Techniques
amiable_indian
 
AlienVault
AlienVaultAlienVault
AlienVault
Ricardo Castañeda
 
Firewalls
FirewallsFirewalls
Firewalls
Kalluri Madhuri
 
Deploying Privileged Access Workstations (PAWs)
Deploying Privileged Access Workstations (PAWs)Deploying Privileged Access Workstations (PAWs)
Deploying Privileged Access Workstations (PAWs)
Blue Teamer
 
Network scanning
Network scanningNetwork scanning
Network scanning
MD SAQUIB KHAN
 
Introduction to Network Security
Introduction to Network SecurityIntroduction to Network Security
Introduction to Network Security
John Ely Masculino
 
Linux security introduction
Linux security introduction Linux security introduction
Linux security introduction
Mohamed Gad
 
Hardening De Servidores GNU/Linux
Hardening De Servidores GNU/LinuxHardening De Servidores GNU/Linux
Hardening De Servidores GNU/Linux
Avanet
 
Hardening windows
Hardening windowsHardening windows
Hardening windows
Jose Manuel Acosta
 

Mais conteúdo relacionado

Mais procurados

Hacking With Nmap - Scanning Techniques
Hacking With Nmap - Scanning TechniquesHacking With Nmap - Scanning Techniques
Hacking With Nmap - Scanning Techniques
amiable_indian
 
Introduction to Network Security
Introduction to Network SecurityIntroduction to Network Security
Introduction to Network Security
John Ely Masculino
 

Mais procurados (20)

Workshop 101 - Penetration testing & Vulnerability assessment system
Workshop 101 - Penetration testing & Vulnerability assessment systemWorkshop 101 - Penetration testing & Vulnerability assessment system
Workshop 101 - Penetration testing & Vulnerability assessment system
 
Introduction To SELinux
Introduction To SELinuxIntroduction To SELinux
Introduction To SELinux
 
Nessus Software
Nessus SoftwareNessus Software
Nessus Software
 
Kali linux useful tools
Kali linux useful toolsKali linux useful tools
Kali linux useful tools
 
Types Of Firewall Security
Types Of Firewall SecurityTypes Of Firewall Security
Types Of Firewall Security
 
Using Splunk for Information Security
Using Splunk for Information SecurityUsing Splunk for Information Security
Using Splunk for Information Security
 
IPSec VPN & IPSec Protocols
IPSec VPN & IPSec Protocols IPSec VPN & IPSec Protocols
IPSec VPN & IPSec Protocols
 
Security Analyst Workshop - 20190314
Security Analyst Workshop - 20190314Security Analyst Workshop - 20190314
Security Analyst Workshop - 20190314
 
Finding attacks with these 6 events
Finding attacks with these 6 eventsFinding attacks with these 6 events
Finding attacks with these 6 events
 
Getting Started with ThousandEyes
Getting Started with ThousandEyesGetting Started with ThousandEyes
Getting Started with ThousandEyes
 
Presentación sobre criptografía
Presentación sobre criptografíaPresentación sobre criptografía
Presentación sobre criptografía
 
Types of attacks and threads
Types of attacks and threadsTypes of attacks and threads
Types of attacks and threads
 
A Threat Hunter Himself
A Threat Hunter HimselfA Threat Hunter Himself
A Threat Hunter Himself
 
Hacking With Nmap - Scanning Techniques
Hacking With Nmap - Scanning TechniquesHacking With Nmap - Scanning Techniques
Hacking With Nmap - Scanning Techniques
 
AlienVault
AlienVaultAlienVault
AlienVault
 
Firewalls
FirewallsFirewalls
Firewalls
 
Deploying Privileged Access Workstations (PAWs)
Deploying Privileged Access Workstations (PAWs)Deploying Privileged Access Workstations (PAWs)
Deploying Privileged Access Workstations (PAWs)
 
Network scanning
Network scanningNetwork scanning
Network scanning
 
Introduction to Network Security
Introduction to Network SecurityIntroduction to Network Security
Introduction to Network Security
 
Linux security introduction
Linux security introduction Linux security introduction
Linux security introduction
 

Destaque

Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
RootedCON
 
Introducción a la Seguridad Perimetral
Introducción a la Seguridad PerimetralIntroducción a la Seguridad Perimetral
Introducción a la Seguridad Perimetral
Esteban Saavedra
 

Destaque (10)

Hardening De Servidores GNU/Linux
Hardening De Servidores GNU/LinuxHardening De Servidores GNU/Linux
Hardening De Servidores GNU/Linux
 
Hardening windows
Hardening windowsHardening windows
Hardening windows
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Wordpressa - Hardening en Wordpress
Wordpressa - Hardening en WordpressWordpressa - Hardening en Wordpress
Wordpressa - Hardening en Wordpress
 
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
Lorenzo Martínez - Welcome to your secure /home, $user [Rooted CON 2012]
 
Seguridad Perimetral - Oscar Gonzalez, Miguel Tolaba
Seguridad Perimetral - Oscar Gonzalez, Miguel TolabaSeguridad Perimetral - Oscar Gonzalez, Miguel Tolaba
Seguridad Perimetral - Oscar Gonzalez, Miguel Tolaba
 
Índice Libro "macOS Hacking" de 0xWord
Índice Libro "macOS Hacking" de 0xWordÍndice Libro "macOS Hacking" de 0xWord
Índice Libro "macOS Hacking" de 0xWord
 
Capitulo I: Blog
Capitulo I: BlogCapitulo I: Blog
Capitulo I: Blog
 
Seguridad fisica y logica
Seguridad fisica y logicaSeguridad fisica y logica
Seguridad fisica y logica
 
Introducción a la Seguridad Perimetral
Introducción a la Seguridad PerimetralIntroducción a la Seguridad Perimetral
Introducción a la Seguridad Perimetral
 

Semelhante a Hardening de Servidores Linux Oscar Gonzalez

Seguridad de los dispositivos de red
Seguridad de los dispositivos de redSeguridad de los dispositivos de red
Seguridad de los dispositivos de red
Carlitos Alvarado
 
Firewall Disertacion
Firewall DisertacionFirewall Disertacion
Firewall Disertacion
squall01
 
Firewall Disertacion
Firewall DisertacionFirewall Disertacion
Firewall Disertacion
guest96dedf4
 
Vc4 nm73 eq4-ssh
Vc4 nm73 eq4-sshVc4 nm73 eq4-ssh
Vc4 nm73 eq4-ssh
17oswaldo
 
VC4NM73 EQ4-SSH
VC4NM73 EQ4-SSHVC4NM73 EQ4-SSH
VC4NM73 EQ4-SSH
luigiHdz
 
Modulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LANModulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LAN
srkamote
 

Semelhante a Hardening de Servidores Linux Oscar Gonzalez (20)

Clase 03
Clase 03Clase 03
Clase 03
 
Clase 03
Clase 03Clase 03
Clase 03
 
Ud7 Redes seguras
Ud7 Redes segurasUd7 Redes seguras
Ud7 Redes seguras
 
Redes del computador unidad 3
Redes del computador unidad 3Redes del computador unidad 3
Redes del computador unidad 3
 
Seguridad de las redes
Seguridad de las redesSeguridad de las redes
Seguridad de las redes
 
¿Qué es un firewall ?
¿Qué es un firewall ?¿Qué es un firewall ?
¿Qué es un firewall ?
 
Integración de sistemas y Firewalls
Integración de sistemas y FirewallsIntegración de sistemas y Firewalls
Integración de sistemas y Firewalls
 
Aplicaciones de Redes - ISC - UCQ - Presentación Final
Aplicaciones de Redes - ISC - UCQ - Presentación FinalAplicaciones de Redes - ISC - UCQ - Presentación Final
Aplicaciones de Redes - ISC - UCQ - Presentación Final
 
Redes del Computador — UNIDAD III: Seguridad de las redes
Redes del Computador — UNIDAD III: Seguridad de las redesRedes del Computador — UNIDAD III: Seguridad de las redes
Redes del Computador — UNIDAD III: Seguridad de las redes
 
VPN / VLAN por Frey Alfonso Santamaría Buitrago
VPN / VLAN por Frey Alfonso Santamaría BuitragoVPN / VLAN por Frey Alfonso Santamaría Buitrago
VPN / VLAN por Frey Alfonso Santamaría Buitrago
 
Unidad iii seguridad de las redes
Unidad iii seguridad de las redesUnidad iii seguridad de las redes
Unidad iii seguridad de las redes
 
Seguridad de los dispositivos de red
Seguridad de los dispositivos de redSeguridad de los dispositivos de red
Seguridad de los dispositivos de red
 
Seguridad
SeguridadSeguridad
Seguridad
 
Seguridad4
Seguridad4Seguridad4
Seguridad4
 
Firewall Disertacion
Firewall DisertacionFirewall Disertacion
Firewall Disertacion
 
Firewall Disertacion
Firewall DisertacionFirewall Disertacion
Firewall Disertacion
 
Lizeth gonzalez-campos
Lizeth gonzalez-camposLizeth gonzalez-campos
Lizeth gonzalez-campos
 
Vc4 nm73 eq4-ssh
Vc4 nm73 eq4-sshVc4 nm73 eq4-ssh
Vc4 nm73 eq4-ssh
 
VC4NM73 EQ4-SSH
VC4NM73 EQ4-SSHVC4NM73 EQ4-SSH
VC4NM73 EQ4-SSH
 
Modulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LANModulo 10: Conceptos de Seguridad de LAN
Modulo 10: Conceptos de Seguridad de LAN
 

Hardening de Servidores Linux Oscar Gonzalez

  • 1. HARDENING DE SERVIDORES LINUX Hardening de Servidores Linux
  • 2. HARDENING DE SERVIDORES LINUX Hardening de Servidores Linux IANUX SALTALUG IT & Security Solutions Comunidad de Software Libre http://ianux.com UID0 http://saltalug.org.ar Security Conference http://uid0.com.ar Oscar Gonzalez Sr. IT Specialist http://ar.linkedin.com/in/gonzalezrenato/ Debian Consultant Argentina http://www.debian.org/consultants/#AR oscar.gonzalez@ianux.com.ar
  • 3. HARDENING DE SERVIDORES LINUX Hardening de Servidores Linux Agenda: • Introducción al Hardening • Protección física • Protección Perimetral • Protección de la capa de aplicación • Fortificación Entorno LAMP (Mysql PHP Apache) • Fortificación SSH • Logging, File Integrity, Particionado • Monitoreo y Backups • Auditoria para Hardening
  • 4. HARDENING DE SERVIDORES LINUX Introducción al Hardening “Hardening” de Sistemas es una estrategia defensiva que protege contra los ataques removiendo servicios vulnerables e innecesarios, cerrando “fallos” de seguridad y asegurando los controles de acceso. Este proceso incluye la evaluación de arquitectura de seguridad de una empresa y la auditoría de la configuración de sus sistemas con el fin de desarrollar y implementar procedimientos de consolidación para asegurar sus recursos críticos. Estos procedimientos son personalizados para cada de negocios, actualizado como las amenazas evolucionan y automatizado para una fácil implementación y auditoría. 1. Defensa en profundidad Procedimientos, concienciación y políticas Seguridad del perímetro Seguridad en la red interna Seguridad a nivel de servidor Seguridad en la aplicación 2. Mínimo privilegio posible 3. Mínimo punto de exposición 4. Gestión de riesgos
  • 5. Protección Física HARDENING DE SERVIDORES LINUX El lugar donde este colocado el servidor es sumamente importante para su estabilidad. El servidor necesita estar protegido contra distintos factores externos que pueden alterar el funcionamiento de la red. 1. La protección contra la electricidad estática y el calor. 2. La protección contra los ruidos eléctricos, los altibajos de tensión y los cortes de corriente. 3. Protección contra suciedad 4. Seguridad contra incendios y agua 5. Protección contra robo y destrucción 6. Protección acceso al mantenimiento del servidor 7. Bios: upgraded - password protected – turn off all device non used
  • 6. Protección Perimetral HARDENING DE SERVIDORES LINUX Esto nos permite definir niveles de confianza, permitiendo el acceso de determinados usuarios internos o externos a determinados servicios, y denegando cualquier tipo de acceso a otros. 1. Centralizar el control de acceso para mantener a los intrusos fuera, permitiendo que la gente de dentro trabaje normalmente. 2. Rechazar conexiones a servicios comprometidos. 3. Permitir sólo ciertos tipos de tráfico (p. ej. correo electrónico) o entre ciertos nodos. 4. Proporcionar un único punto de interconexión con el exterior. 5. Redirigir el tráfico entrante a los sistemas adecuados dentro de la intranet. 6. Ocultar sistemas o servicios vulnerables que no son fáciles de proteger desde Internet. 7. Auditar el tráfico entre el exterior y el interior. 8. Ocultar información: nombres de sistemas, topología de la red, tipos de dispositivos de red, cuentas de usuarios internos. Firewall, Routers, VPN, IDS, DMZ, Subredes, Switchs ,Monitoreo de la RED
  • 7. HARDENING DE SERVIDORES LINUX Protección de la capa Aplicación Esto nos permite definir niveles de confianza, permitiendo el acceso de determinados usuarios internos o externos a determinados servicios, y denegando cualquier tipo de acceso a otros. 0. Grub, Lilo - password protected 1. turn off all USB ports 2. Jaulas con chroot 3. Permisos especiales, atributos y ACL 4. Elevación de privilegios con sudo 5. Limitación de recursos 6. Port-Knocking 7. Actualizaciones/upgrades de forma estable en Debian 8. HIDS Host-based Intrusion Detection System 9. Hardenizar cada uno de los servicios “Ejemplos de diferentes configuraciones desde terminal”
  • 8. Fortificación Entorno LAMP HARDENING DE SERVIDORES LINUX Algunos Tips 1. MySQL Dirección de escucha Carga de ficheros locales Renombrar el usuario root comprobar existencia de usuarios anonimos Controlar los privilegios de los usuarios mysql_secure_installation 2. PHP expose_php display_errors open_basedir disable_functions Deshabilitar RFI Suhosin 3. Apache Configuraciones globales Deshabilitar informacion ofrecida por el servidor Configuraciones por contexto mod_security HTTPS “Ejemplos de diferentes configuraciones desde terminal”
  • 9. HARDENING DE SERVIDORES LINUX Fortificación SSH 1. Introducción a SSH Funcionamiento del protocolo la primera conexion Configuración del servicio Archivos del servicio Directivas básicas Autenticación con contraseña Clave pública y clave privada 2. Aplicaciones con SSH Copia segura con SCP FTP seguro con SFTP SSHFS: El sistema de archivos de SSH X11 forwarding con SSH Fail2ban 3. SSH: tunneling Tuneles TCP/IP con port forwarding mediante SSH SOCKS con SSH : Habilitando y utilizando SOCKS “Ejemplos de diferentes configuraciones desde terminal”
  • 10. HARDENING DE SERVIDORES LINUX Logging, File Integrity, Particionado Logging 1. Rsyslogd Clasificaciones de mensajes. Facility y severity Configuracion de rsyslogd 2. Rotacion de logs Ficheros de configuracion de logrotate Output channels y logrotate 3. Logging remoto o centralizado File Integrity AFICK AIDE Osiris Samhain Tripwire Particionado opciones de montaje Encriptacion de discos “Ejemplos de diferentes configuraciones desde terminal”
  • 11. HARDENING DE SERVIDORES LINUX Monitoreo y Backups Monitoreo 1. Nagios 2. Monit 3. Custom Scripts Backups 1. Bacula 2. Custom Scripts “Ejemplos de diferentes configuraciones desde terminal”
  • 12. HARDENING DE SERVIDORES LINUX Auditoría para Hardening Tools 1. lynis 2. Bastile linux “Ejemplos de diferentes configuraciones desde terminal”
  • 13. HARDENING DE SERVIDORES LINUX Temas System Tools Boot and services Kernel Memory and processes Users, Groups and Authentication Shells File systems Storage NFS Software: name services Ports and packages Networking Printers and Spools Software: e-mail and messaging Software: firewalls Software: webserver SSH Support SNMP Support Databases LDAP Services Software: PHP Squid Support Logging and files Insecure services Banners and identification Scheduled tasks Accounting Time and Synchronization Cryptography Virtualization Security frameworks Software: file integrity Software: Malware scanners System Tools Home directories Kernel Hardening Hardening
  • 14. HARDENING DE SERVIDORES LINUX Dudas? | Preguntas?
  • 15. HARDENING DE SERVIDORES LINUX Gracias por su tiempo!!! Espero que les haya servido Hasta la próxima ....