SlideShare una empresa de Scribd logo

Seguridad Perimetral - Oscar Gonzalez, Miguel Tolaba

Oscar Gonzalez
Oscar Gonzalez

Este documento presenta una introducción a la seguridad perimetral y realiza un mini taller sobre la instalación y configuración de Shorewall. Explica conceptos clave como firewalls, IDS, honeypots y seguridad perimetral. Luego, detalla el proceso de instalación de Shorewall en Linux, incluyendo particionado, configuración de red, instalación de paquetes y configuración de archivos de configuración clave.

Tecnología
1 de 49
Descargar para leer sin conexión
Seguridad Perimetral // Introducción + Mini Taller Seguridad Perimetral
Seguridad Perimetral Seguridad Perimetral // Introducción + Mini Taller • IANUX Soluciones | Comunidad de Software Libre http://ianux.com.ar | http://saltalug.org.ar LPIC Oscar Gonzalez, Ing. Miguel Tolaba Consultor IT, Administrador de Red Security Researcher, Profesor de Sistemas Operativos Instructor LPI Linux MSN+Gtalk: MSN + Gtalk oscar.gonzalez@ianux.com.ar miguel@saltalug.org.ar oscar.gonzalez@saltalug.org.ar Skype: gonzalez_oscar
Seguridad Perimetral Seguridad Perimetral // Introducción + Mini Taller Agenda: • Introducción • Breves Definiciones • Soluciones Existentes • Shorewall – Ventajas y Funcionalidades – Instalación y Configuración – Ejemplos de implementación
Introducción Seguridad Perimetral // Introducción + Mini Taller • Que es la seguridad? • Que hay que proteger? • De quien hay que protegerlo? • Como Protegerlo?
Definiciones • Que es la Seguridad Perimetral? Seguridad Perimetral // Introducción + Mini Taller • Que son Firewalls? • Que son IDS/IPS? • Que son HoneyPots/HoneyNets? • Que es la Alta Disponibilidad? • Que es el Balanceo de Carga? • Que es el Traffic Shaping? • Que es la DMZ? • Que es un Proxy? • Que es NAT? • Que son VLANs?
Aclaraciones Seguridad Perimetral // Introducción + Mini Taller • Se debe elegir una política de seguridad antes de iniciar la distribución de los firewalls. • Además del firewall, pueden coexistir otros mecanismos de seguridad, como un servidor de autenticación (LDAP/Kerberos/Radius), un IDS u otros. • No hay reglas a seguir para colocar los firewall salvo las básicas de seguridad y el sentido común.
Honeypots Seguridad Perimetral // Introducción + Mini Taller • Se conoce como Honeypots (tarros de miel) a una trampa que se coloca a los atacantes para que dejen sus huellas, expulsarlos o incluso contraatacar. Suele tratarse de un entorno controlado en el que el atacante puede moverse libremente sin que peligre nuestra red. Ejemplos • Sticky: Se usan para ralentizar un ataque. • Sugarcane: Simulando un proxy abierto. • Spamtrap: Una dirección de correo que utilizamos solo para spam.
Honeynets Seguridad Perimetral // Introducción + Mini Taller • Una Honeynet es una red de Honeypots. También son entornos altamente controlados. Ofrecen mas información que los Honeypots ya que dan mas libertad al atacante.
Honeypots de baja iteraccion Seguridad Perimetral // Introducción + Mini Taller Características • Simulan un sistema operativo o servicios. • Las posibilidades del atacante son mínimas • En Linux: honeyd. Desventajas • Muy simples y por lo tanto es posible detectarlos. • No ofrecen casi información sobre el ataque. • Diseñados para detectar ciertos comportamientos.
Honeypots de alta iteraccion Seguridad Perimetral // Introducción + Mini Taller Características • Son sistemas operativos completos. • Están preparados para no comprometer la red. • Difícil de implementar. • Casi exclusivos en entornos de investigación • Ofrecen toda la información que queramos. Desventajas • Dan mucha libertad al atacante. • Si esta mal diseñado puede comprometer a la red. • Depende de la habilidad del administrador.
Soluciones de Seguridad Perimetral // Introducción + Mini Taller Firewalls Kernel Support BSD Linux Ejemplo de Soluciones existentes: ClearOS IPCOP Endian Juniper PFSense Shorewall Astaro
Funcionalidades Seguridad Perimetral // Introducción + Mini Taller • Acceso remoto (VNC,SSH,Terminal Service,..) • VPN • Control de Trafico (P2P,Voip..) I7Filter, QOS • Panel de Administración Web • Proxy Cache • Control Parental (DansGuardian) • Integración con usuarios LDAPs • Correo Electrónico • Ruteo, DNAT, SNAT....
Que nos conviene? Seguridad Perimetral // Introducción + Mini Taller • Utilizamos las soluciones existentes? • Instalamos un Server desde 0? Re:Cuales son las necesidades a cubrir? • La información a custodiar es de vital importancia y necesitamos invertir en seguridad, Que debo tener en cuenta? • Buscamos lograr una integración 100% con soluciones existentes en nuestra empresa, y queremos que dicha integración sea segura, que tenemos en cuenta? • Me interesa la seguridad informática y tenemos tiempo para investigar, por donde empiezo? • Que nivel de seguridad es el conveniente?
Hardware Critico Seguridad Perimetral // Introducción + Mini Taller • Placas de red • Memoria RAM • Disco Rigido • Procesador
Seguridad Perimetral // Introducción + Mini Taller 2 WAN+DMZ+LAN Esquema de Red 1
Seguridad Perimetral // Introducción + Mini Taller 1 WAN+LAN Esquema de Red 2
Seguridad Perimetral // Introducción + Mini Taller Load Balancer
Seguridad Perimetral // Introducción + Mini Taller Proxy Cache
Mini Taller Seguridad Perimetral // Introducción + Mini Taller Agenda: • Consejos y Recomendaciones para la instalación desde 0. • Configuración de Placas de Red, DHCP SQUID Transparent, Shorewall • Troubleshooting “Problemas Comunes”
Instalación desde 0 Seguridad Perimetral // Introducción + Mini Taller • Linux Debian • Particionado Seguro • Actualización Automática • Backups Automáticos Local y Remoto • Disaster Recovery (Mondo Rescue) • Logs y notificaciones • Control de integridad • Hardening • Configuración de los servicios de red • Pentesting de cada Servicio
Seguridad Perimetral // Introducción + Mini Taller Esquema Básico
Particionado Seguridad Perimetral // Introducción + Mini Taller [code][File: /etc/fstab] # <file system> <mount point> <type> <options> <dump> <pass> /dev/sda1 / ext3 nosuid,errors=remount-ro 0 1 /dev/sda7 /home ext3 nodev,nosuid,noexec,usrquota,grpquota 0 2 /dev/sda2 /tmp ext3 nodev,nosuid 0 2 /dev/sda6 /usr ext3 nodev 0 2 /dev/sda5 /var ext3 noatime,nodev,nosuid,noexec 0 2 /dev/sda7 /var/tmp ext3 nodev,nosuid,noexec 0 2 /dev/sda8 /var/log nodev,nosuid,noexec none /dev/shm tmpfs defaults,noexec,nosuid 0 0 /dev/sda9 /cache reiserfs notail,noatime,nodev,nosuid,noexec 0 2 /dev/sda3 none swap sw 0 0 [/code]
/etc/hosts Seguridad Perimetral // Introducción + Mini Taller [code][File: /etc/hosts] 127.0.0.1 localhost.localdomain localhost 127.0.1.1 gateway.local.com gateway # The following lines are desirable for IPv6 capable hosts ::1 localhost ip6-localhost ip6-loopback fe00::0 ip6-localnet ff00::0 ip6-mcastprefix ff02::1 ip6-allnodes ff02::2 ip6-allrouters [/code]
/etc/hostname Seguridad Perimetral // Introducción + Mini Taller [code][File: /etc/hostname] gateway.local.com [/code]
/etc/network/interfaces Seguridad Perimetral // Introducción + Mini Taller [code][File: /etc/network/interfaces] auto lo iface lo inet loopback #WAN auto eth0 iface eth0 inet dhcp #LAN auto eth1 iface eth1 inet static post-down /usr/sbin/ethtool -s eth0 wol g speed 100 duplex full address 192.168.27.1 netmask 255.255.255.0 broadcast 192.168.27.255 dns-nameservers 200.45.191.35 200.45.48.233 192.168.27.1 [/code]
Instalando Paquetes Seguridad Perimetral // Introducción + Mini Taller [code][Ejecutar en Consola] aptitude update; aptitude safe-upgrade; apt-get install sudo zsh vim-nox bzip2 ssh ntp ntpdate mutt ssmtp mc ethtool fail2ban iptables iproute perl squid3 dhcp3- server [/code] [code][Ejecutar en Consola] chown proxy:proxy -R /cache/ [/code]
/etc/defaults/ Seguridad Perimetral // Introducción + Mini Taller [code][File: /etc/defaults/dhcp3-server] INTERFACES="eth1" [/code]
/etc/defaults/dhcp3-server Seguridad Perimetral // Introducción + Mini Taller [code][File: /etc/defaults/dhcp3-server] ddns-update-style none; default-lease-time 86400; max-lease-time 604800; subnet 192.168.27.0 netmask 255.255.255.0 { range 192.168.27.10 192.168.27.50; option subnet-mask 255.255.255.0; option broadcast-address 192.168.27.255; option routers 192.168.27.1; option domain-name-servers 200.45.191.35, 200.45.48.233; option domain-name "local.com"; default-lease-time 600; max-lease-time 7200; } [/code]
/etc/squid3/squid.conf [code][File: /etc/squid3/squid.conf][Parte1] Seguridad Perimetral // Introducción + Mini Taller emulate_httpd_log on logfile_rotate 7 cache_store_log none logformat squid %tl %6tr %>a %Ss/%03Hs %<st %rm %ru %un %Sh/%<A %mt pid_filename /var/run/squid.pid access_log /var/log/squid3/access.log squid cache_log /var/log/squid3/cache.log cache_access_log syslog:local6.info cache_store_log none strip_query_terms off log_mime_hdrs off buffered_logs off half_closed_clients off server_persistent_connections off forwarded_for off [/code]
/etc/squid3/squid.conf [code][File: /etc/squid3/squid.conf][Parte2] Seguridad Perimetral // Introducción + Mini Taller #Debugging debug_options ALL,1 #debug_options ALL,1 33,2 # Configurar el puerto: http_port 192.168.27.1:3128 transparent visible_hostname gateway.local.com # Configurar el tamaño de los archivos a guardar en la caché maximum_object_size_in_memory 512 KB maximum_object_size 4 MB memory_replacement_policy lru cache_replacement_policy lru quick_abort_min -1 KB [/code]
/etc/squid3/squid.conf Seguridad Perimetral // Introducción + Mini Taller [code][File: /etc/squid3/squid.conf][Parte3] # Configurar el tamañe la caché y el tipo de almacenamiento. Usamos .aufs. porque hemos visto que Squid funciona mejor, creando varios threads para manejo de los archivos: cache_dir aufs /cache 19456 16 256 cache_effective_user proxy cache_effective_group proxy #El parátro cache_mem establece la cantidad de memoria para los objetos en transito, objetos frecuentemente utilizados y objetos negativamente utilizados en la cache este parametro esta limitado por la memoria RAM del sistema. cache_mem 150 MB # Especificar los DNSs a usar. Esto es cuando se desea usar otros DNSs distintos a los que están indicados en /etc/resolv.conf: dns_nameservers 200.45.191.35 200.45.48.223 192.168.27.1 [/code]
/etc/squid3/squid.conf Seguridad Perimetral // Introducción + Mini Taller [code][File: /etc/squid3/squid.conf][Parte 4] # Configurar los patrones de refresco (refresh_pattern). Esto debe ser configurado con cuidado. # Debian refresh_pattern -i .deb$ 129600 100% 129600 refresh_pattern -i .udeb$ 129600 100% 129600 refresh_pattern -i .gz$ 129600 100% 129600 refresh_pattern -i .bz2$ 129600 100% 129600 refresh_pattern changelogs.ubuntu.com/* 0 1% 1 # Imagenes refresh_pattern -i .gif$ 14400 80% 43200 refresh_pattern -i .tiff?$ 14400 80% 43200 refresh_pattern -i .bmp$ 14400 80% 43200 refresh_pattern -i .jpe?g$ 14400 80% 43200 refresh_pattern -i .xbm$ 14400 80% 43200 ............................................... pueden agregar mas... [/code]
/etc/squid3/squid.conf [code][File: /etc/squid3/squid.conf][Parte 5] Seguridad Perimetral // Introducción + Mini Taller # Configurar una ACL que permita a los usuarios de la intranet hacer uso del proxy: acl localhost src 127.0.0.1 acl intranet src 192.168.27.0/255.255.255.0 # Purgar Cache acl PURGE method PURGE http_access allow PURGE localhost http_access deny PURGE # Denegar Youtube cache deny youtube acl blacklist_webs url_regex "/etc/squid3/listas/blacklist_webs" acl manager proto cache_object http_access deny blacklist_webs http_access allow intranet http_access deny manager http_access deny all [/code]
Shorewall [code][Ejecutar en Consola] Seguridad Perimetral // Introducción + Mini Taller mkdir -p ~/paquetes/shorewall; cd ~/paquetes/shorewall/; wget http://www.shorewall.net/pub/shorewall/CURRENT_STABLE_VERSION_IS_4.4/shorewall-4.4.1 tar jxvf shorewall-4.*.tar.bz2; cd shorewall-4.*; ./install.sh [/code] [Recomendación SQUID] # 32 MB RAM ----- 1GB CACHE en Disco # 256 descriptores ↔ 4 MB RAM # descriptor=(MemoriaTotal * 256) /4 =(256*256) /4=16384 Editar /etc/sysctl.conf y agregar (fs.file-max = 16384) #Calculando la maxima cantidad de procesos por usuario #max-limite-perproc=(fs.file-max /2)=16384/2=8192 Editar /etc/security/limits.conf y agregar lo siguiente: * soft nofile 8192 * hard nofile 8192 [/Recomendación]
Shorewall [code][File: /etc/shorewall/params] Seguridad Perimetral // Introducción + Mini Taller # Log level LOG=ULOG # Interfaz WAN NET_IF=eth0 # Interfaz LAN LAN_IF=eth1 # Subred LAN LOC_SUBNET=192.168.27.0/24 # Sin Internet LAN_NO=192.168.27.10,192.168.27.11,192.168.27.12,192.168.27.13..... # Con Internet LAN_SI=192.168.27.30,192.168.27.31,192.168.27.32,192.168.27.33..... [/code]
Shorewall [code][File: /etc/shorewall/interfaces] Seguridad Perimetral // Introducción + Mini Taller #ZONE INTERFACE BROADCAST OPTIONS net $NET_IF detect dhcp,blacklist,tcpflags,routefilter=1,nosmurfs,logmartians=1,nets=(!$LOC_SUBNET) lan1 $LAN_IF detect dhcp,blacklist,tcpflags,nosmurfs,nets=($LOC_SUBNET) [/code] [code][File: /etc/shorewall/zones] #ZONE TYPE OPTIONS IN OUT # OPTIONS OPTIONS fw firewall net ipv4 #Zona Internet lan1 ipv4 #Zona Local [/code] [code][File: /etc/shorewall/masq] $NET_IF $LOC_SUBNET [/code]
Shorewall [code][File: /etc/shorewall/policy] Seguridad Perimetral // Introducción + Mini Taller #SOURCE DEST POLICY LOG LEVEL LIMIT:BURST # Policies for traffic originating from the local LAN (loc) lan1 net ACCEPT $LOG lan1 $FW ACCEPT $LOG lan1 all REJECT $LOG # Policies for traffic originating from the firewall ($FW) $FW net ACCEPT $LOG $FW lan1 ACCEPT $LOG $FW all REJECT $LOG # Policies for traffic originating from the Internet zone (net) #net lan2 DROP info net $FW DROP $LOG net lan1 DROP $LOG net all DROP $LOG 8/sec:30 # THE FOLLOWING POLICY MUST BE LAST all all REJECT $LOG [/code]
Shorewall [code][File: /etc/shorewall/rules] [parte1] Seguridad Perimetral // Introducción + Mini Taller # Trafico originado en el Firewall (fw) con destino el Internet (net): fw2net # ACCEPT $FW net tcp 80,443,5060,5061 ACCEPT $FW net udp 53,123,5060,5061 ACCEPT $FW net icmp 8 # Trafico originado en el Internet (net) con destino el Firewall (fw): net2fw ACCEPT:$LOG net $FW tcp 22,5060,5061 ACCEPT net $FW udp 53,464,5060,5061 ACCEPT net $FW icmp 8 # Trafico originado en la LAN (loc) con destino el Firewall (fw) ACCEPT:info lan1 $FW tcp 22,3389,88,5060,5061 # Proxy Transparente REDIRECT lan1 3128 tcp 80 - !192.168.27.99 ACCEPT lan1 $FW udp 53,123,3389,88,135,139,445,5060,5061 ACCEPT lan1 $FW icmp 8
Shorewall [code][File: /etc/shorewall/rules][parte 2] Seguridad Perimetral // Introducción + Mini Taller # Trafico originado en la LAN (loc) con destino el Internet (net): loc2net REJECT lan1:$LAN_NO net tcp 80,110,143,443,587,993,1863,5323 ACCEPT lan1:$LAN_SI net tcp 80 # HTTP ACCEPT lan1:$LAN_SI net tcp 22 # SSH ACCEPT lan1:$LAN_SI net tcp 21 # FTP ACCEPT lan1:$LAN_SI net tcp 25 # CORREO ACCEPT lan1:$LAN_SI net tcp 53 # DNS ACCEPT lan1:$LAN_SI net tcp 110 # POP3 ACCEPT lan1:$LAN_SI net tcp 143 # IMAP ACCEPT lan1:$LAN_SI net tcp 443 # HTTPS ACCEPT lan1:$LAN_SI net tcp 587 # SMTP SUbmission ACCEPT lan1:$LAN_SI net tcp 993 # IMAP sobre SSL ACCEPT lan1:$LAN_SI net tcp 995 # POP3 sobre SSL ACCEPT lan1:$LAN_SI net tcp 1863 # MSN Messenger ACCEPT lan1:$LAN_SI net tcp 6667 # IRC ACCEPT lan1:$LAN_SI net tcp 5223 # Jabber SSL/TLS [/code]
Shorewall [code][File: /etc/shorewall/rules][parte 3] Seguridad Perimetral // Introducción + Mini Taller ACCEPT $FW lan1 tcp 22,53,88,135,139,445,5060,5061 ACCEPT $FW lan1 udp 88,5060,5061 SSH/ACCEPT lan1 $FW SSH/ACCEPT $FW lan1 Ping/DROP net $FW Ping/ACCEPT lan1:$LAN_SI $FW Ping/ACCEPT lan1:$LAN_SI net Ping/DROP lan1:$LAN_NO net ACCEPT $FW net icmp ACCEPT $FW lan1 icmp [/code]
Shorewall [code][File: /etc/shorewall/blacklist] Seguridad Perimetral // Introducción + Mini Taller $LAN_NO udp 53 $LAN_NO tcp 80,3128 - udp 1024:1862,1864:3127,3129:5221,5223:6666,6668:49151,49152:65535 - tcp 1024:1862,1864:3127,3129:5221,5223:6666,6668:49151,49152:65535 [/code] [code][File: /etc/shorewall/shorewall.conf] STARTUP_ENABLED=Yes [/code] [code][File: /etc/default/shorewall] startup=1 [/code]
Quiero Mas!!! Seguridad Perimetral // Introducción + Mini Taller • PortKnocking Alguien alguna vez toco una puerta para poder entrar en una casa? Que es? Como se toca la puerta? • SSL + PortKnocking Cuando sus vecinos vieron como toca la puerta y donde deja la llave, Que medidas puede tomar? • Balanceo de Internet (Multi WANs) /etc/shorewall/providers Alguien tiene N conexiones WAN y no sabe como utilizarlas en conjunto?
Seguridad Perimetral // Introducción + Mini Taller Dudas? | Preguntas? Sugerencias ? | Reclamos?
Seguridad Perimetral // Introducción + Mini Taller Muchas Gracias A todos, en especial a los organizadores por hacernos sentir muy cómodos CCBOL 2010, Trinidad Beni, Bolivia
Seguridad Perimetral // Introducción + Mini Taller
Seguridad Perimetral // Introducción + Mini Taller
Seguridad Perimetral // Introducción + Mini Taller
Seguridad Perimetral // Introducción + Mini Taller
Seguridad Perimetral // Introducción + Mini Taller LPIC Oscar Gonzalez, Ing. Miguel Tolaba Consultor IT, Administrador de Red Security Researcher, Profesor de Sistemas Operativos Instructor LPI Linux MSN+Gtalk: MSN + Gtalk oscar.gonzalez@ianux.com.ar miguel@saltalug.org.ar oscar.gonzalez@saltalug.org.ar Skype: gonzalez_oscar

Recomendados

Introducción a la Seguridad Perimetral
Introducción a la Seguridad PerimetralIntroducción a la Seguridad Perimetral
Introducción a la Seguridad PerimetralEsteban Saavedra
 
MINEDU: OFIN -Estrategia de Innovación
MINEDU: OFIN -Estrategia de InnovaciónMINEDU: OFIN -Estrategia de Innovación
MINEDU: OFIN -Estrategia de InnovaciónJack Daniel Cáceres Meza
 
Seguridad en redes i
Seguridad en redes iSeguridad en redes i
Seguridad en redes iMaestros en Linea MX
 
Hardening de Servidores Linux Oscar Gonzalez
Hardening de Servidores Linux Oscar GonzalezHardening de Servidores Linux Oscar Gonzalez
Hardening de Servidores Linux Oscar GonzalezOscar Gonzalez
 
Blanca, yeys y andrea alvarez
Blanca, yeys y andrea alvarezBlanca, yeys y andrea alvarez
Blanca, yeys y andrea alvarezblayean
 
Seguridad perimetral de servidores acls e ip tables
Seguridad perimetral de servidores acls e ip tablesSeguridad perimetral de servidores acls e ip tables
Seguridad perimetral de servidores acls e ip tablesAmanda Sofia
 
DnsSec
DnsSecDnsSec
DnsSecChema Alonso
 
Extensiones de Seguridad para el Sistema de Nombres de Dominio aplicadas en l...
Extensiones de Seguridad para el Sistema de Nombres de Dominio aplicadas en l...Extensiones de Seguridad para el Sistema de Nombres de Dominio aplicadas en l...
Extensiones de Seguridad para el Sistema de Nombres de Dominio aplicadas en l...Universidad Nacional de Loja
 

Recomendados

Introducción a la Seguridad Perimetral
Introducción a la Seguridad PerimetralIntroducción a la Seguridad Perimetral
Introducción a la Seguridad PerimetralEsteban Saavedra
 
MINEDU: OFIN -Estrategia de Innovación
MINEDU: OFIN -Estrategia de InnovaciónMINEDU: OFIN -Estrategia de Innovación
MINEDU: OFIN -Estrategia de InnovaciónJack Daniel Cáceres Meza
 
Seguridad en redes i
Seguridad en redes iSeguridad en redes i
Seguridad en redes iMaestros en Linea MX
 
Hardening de Servidores Linux Oscar Gonzalez
Hardening de Servidores Linux Oscar GonzalezHardening de Servidores Linux Oscar Gonzalez
Hardening de Servidores Linux Oscar GonzalezOscar Gonzalez
 
Blanca, yeys y andrea alvarez
Blanca, yeys y andrea alvarezBlanca, yeys y andrea alvarez
Blanca, yeys y andrea alvarezblayean
 
Seguridad perimetral de servidores acls e ip tables
Seguridad perimetral de servidores acls e ip tablesSeguridad perimetral de servidores acls e ip tables
Seguridad perimetral de servidores acls e ip tablesAmanda Sofia
 
DnsSec
DnsSecDnsSec
DnsSecChema Alonso
 
Extensiones de Seguridad para el Sistema de Nombres de Dominio aplicadas en l...
Extensiones de Seguridad para el Sistema de Nombres de Dominio aplicadas en l...Extensiones de Seguridad para el Sistema de Nombres de Dominio aplicadas en l...
Extensiones de Seguridad para el Sistema de Nombres de Dominio aplicadas en l...Universidad Nacional de Loja
 
DNSSEC - Generalidades e Introducción
DNSSEC - Generalidades e IntroducciónDNSSEC - Generalidades e Introducción
DNSSEC - Generalidades e IntroducciónCarlos Martinez Cagnazzo
 
20101014 seguridad perimetral
20101014 seguridad perimetral20101014 seguridad perimetral
20101014 seguridad perimetral3calabera
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticajlezcano1210
 
Desafíos operacionales al implementar dnssec
Desafíos operacionales al implementar dnssecDesafíos operacionales al implementar dnssec
Desafíos operacionales al implementar dnssecMEDUCA
 
Hardening windows
Hardening windowsHardening windows
Hardening windowsJose Manuel Acosta
 
Manual de instrucciones redes sistemas s y v
Manual de instrucciones redes sistemas s y vManual de instrucciones redes sistemas s y v
Manual de instrucciones redes sistemas s y vUnmundoderedes Irc
 
Virtualizacion
VirtualizacionVirtualizacion
VirtualizacionJuan Carlos Rubio Pineda
 
Vlans con una tarjeta de red en pfsense
Vlans con una tarjeta de red en pfsenseVlans con una tarjeta de red en pfsense
Vlans con una tarjeta de red en pfsenseEdgar Guth
 
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0Rockdan
 
PfSense VLAN sobre una sola interfaz de red.
PfSense VLAN sobre una sola interfaz de red.PfSense VLAN sobre una sola interfaz de red.
PfSense VLAN sobre una sola interfaz de red.gabo_rojo
 
Asignatura: Interconectividad de Redes
Asignatura: Interconectividad de Redes Asignatura: Interconectividad de Redes
Asignatura: Interconectividad de Redes Héctor Garduño Real
 
Seguridad física protección perimetral gráfico angelolleros
Seguridad física protección perimetral gráfico angelollerosSeguridad física protección perimetral gráfico angelolleros
Seguridad física protección perimetral gráfico angelollerosAngel Olleros Consultoría
 
Virtualizacion
VirtualizacionVirtualizacion
VirtualizacionPaco Orozco
 
Mapa mental redes
Mapa mental redesMapa mental redes
Mapa mental redesl0u7i8s7
 
Cortafuegos
CortafuegosCortafuegos
CortafuegosRaquel Carretero
 
INSTALACIONES PROVISORIAS Y ESPECIFICACIONES TECNICAS
INSTALACIONES PROVISORIAS Y ESPECIFICACIONES TECNICASINSTALACIONES PROVISORIAS Y ESPECIFICACIONES TECNICAS
INSTALACIONES PROVISORIAS Y ESPECIFICACIONES TECNICASpaulina
 
53458737 manual-de-usuario-de-pfsense-firewall
53458737 manual-de-usuario-de-pfsense-firewall53458737 manual-de-usuario-de-pfsense-firewall
53458737 manual-de-usuario-de-pfsense-firewallSebastian Berrios Vasquez
 
Seguridad Informática en Redes de Computadores
Seguridad Informática en Redes de ComputadoresSeguridad Informática en Redes de Computadores
Seguridad Informática en Redes de ComputadoresWayner Barrios
 
Tema 1. Seguridad Perimetral
Tema 1. Seguridad PerimetralTema 1. Seguridad Perimetral
Tema 1. Seguridad PerimetralFrancisco Medina
 
Guía de seguridad proteccion perimetral…clave de la seguridad fisica
Guía de seguridad proteccion perimetral…clave de la seguridad fisica Guía de seguridad proteccion perimetral…clave de la seguridad fisica
Guía de seguridad proteccion perimetral…clave de la seguridad fisica miguel911
 
Fundamentos de seguridad informatica
Fundamentos de seguridad informaticaFundamentos de seguridad informatica
Fundamentos de seguridad informaticaiaraoz
 
Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanch4k4n
 

Más contenido relacionado

Destacado

20101014 seguridad perimetral
20101014 seguridad perimetral20101014 seguridad perimetral
20101014 seguridad perimetral3calabera
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticajlezcano1210
 
Desafíos operacionales al implementar dnssec
Desafíos operacionales al implementar dnssecDesafíos operacionales al implementar dnssec
Desafíos operacionales al implementar dnssecMEDUCA
 
Manual de instrucciones redes sistemas s y v
Manual de instrucciones redes sistemas s y vManual de instrucciones redes sistemas s y v
Manual de instrucciones redes sistemas s y vUnmundoderedes Irc
 
Vlans con una tarjeta de red en pfsense
Vlans con una tarjeta de red en pfsenseVlans con una tarjeta de red en pfsense
Vlans con una tarjeta de red en pfsenseEdgar Guth
 
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0Rockdan
 
PfSense VLAN sobre una sola interfaz de red.
PfSense VLAN sobre una sola interfaz de red.PfSense VLAN sobre una sola interfaz de red.
PfSense VLAN sobre una sola interfaz de red.gabo_rojo
 
Asignatura: Interconectividad de Redes
Asignatura: Interconectividad de Redes Asignatura: Interconectividad de Redes
Asignatura: Interconectividad de Redes Héctor Garduño Real
 
Seguridad física protección perimetral gráfico angelolleros
Seguridad física protección perimetral gráfico angelollerosSeguridad física protección perimetral gráfico angelolleros
Seguridad física protección perimetral gráfico angelollerosAngel Olleros Consultoría
 
Mapa mental redes
Mapa mental redesMapa mental redes
Mapa mental redesl0u7i8s7
 
INSTALACIONES PROVISORIAS Y ESPECIFICACIONES TECNICAS
INSTALACIONES PROVISORIAS Y ESPECIFICACIONES TECNICASINSTALACIONES PROVISORIAS Y ESPECIFICACIONES TECNICAS
INSTALACIONES PROVISORIAS Y ESPECIFICACIONES TECNICASpaulina
 
53458737 manual-de-usuario-de-pfsense-firewall
53458737 manual-de-usuario-de-pfsense-firewall53458737 manual-de-usuario-de-pfsense-firewall
53458737 manual-de-usuario-de-pfsense-firewallSebastian Berrios Vasquez
 
Seguridad Informática en Redes de Computadores
Seguridad Informática en Redes de ComputadoresSeguridad Informática en Redes de Computadores
Seguridad Informática en Redes de ComputadoresWayner Barrios
 
Tema 1. Seguridad Perimetral
Tema 1. Seguridad PerimetralTema 1. Seguridad Perimetral
Tema 1. Seguridad PerimetralFrancisco Medina
 
Guía de seguridad proteccion perimetral…clave de la seguridad fisica
Guía de seguridad proteccion perimetral…clave de la seguridad fisica Guía de seguridad proteccion perimetral…clave de la seguridad fisica
Guía de seguridad proteccion perimetral…clave de la seguridad fisica miguel911
 

Destacado (20)

DNSSEC - Generalidades e Introducción
DNSSEC - Generalidades e IntroducciónDNSSEC - Generalidades e Introducción
DNSSEC - Generalidades e Introducción
 
20101014 seguridad perimetral
20101014 seguridad perimetral20101014 seguridad perimetral
20101014 seguridad perimetral
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Desafíos operacionales al implementar dnssec
Desafíos operacionales al implementar dnssecDesafíos operacionales al implementar dnssec
Desafíos operacionales al implementar dnssec
 
Hardening windows
Hardening windowsHardening windows
Hardening windows
 
Manual de instrucciones redes sistemas s y v
Manual de instrucciones redes sistemas s y vManual de instrucciones redes sistemas s y v
Manual de instrucciones redes sistemas s y v
 
Virtualizacion
VirtualizacionVirtualizacion
Virtualizacion
 
Vlans con una tarjeta de red en pfsense
Vlans con una tarjeta de red en pfsenseVlans con una tarjeta de red en pfsense
Vlans con una tarjeta de red en pfsense
 
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
labs.lacnic.net site sites_default_files_050-dns-dnssec-lacnic-01_0
 
PfSense VLAN sobre una sola interfaz de red.
PfSense VLAN sobre una sola interfaz de red.PfSense VLAN sobre una sola interfaz de red.
PfSense VLAN sobre una sola interfaz de red.
 
Asignatura: Interconectividad de Redes
Asignatura: Interconectividad de Redes Asignatura: Interconectividad de Redes
Asignatura: Interconectividad de Redes
 
Seguridad física protección perimetral gráfico angelolleros
Seguridad física protección perimetral gráfico angelollerosSeguridad física protección perimetral gráfico angelolleros
Seguridad física protección perimetral gráfico angelolleros
 
Virtualizacion
VirtualizacionVirtualizacion
Virtualizacion
 
Mapa mental redes
Mapa mental redesMapa mental redes
Mapa mental redes
 
Cortafuegos
CortafuegosCortafuegos
Cortafuegos
 
INSTALACIONES PROVISORIAS Y ESPECIFICACIONES TECNICAS
INSTALACIONES PROVISORIAS Y ESPECIFICACIONES TECNICASINSTALACIONES PROVISORIAS Y ESPECIFICACIONES TECNICAS
INSTALACIONES PROVISORIAS Y ESPECIFICACIONES TECNICAS
 
53458737 manual-de-usuario-de-pfsense-firewall
53458737 manual-de-usuario-de-pfsense-firewall53458737 manual-de-usuario-de-pfsense-firewall
53458737 manual-de-usuario-de-pfsense-firewall
 
Seguridad Informática en Redes de Computadores
Seguridad Informática en Redes de ComputadoresSeguridad Informática en Redes de Computadores
Seguridad Informática en Redes de Computadores
 
Tema 1. Seguridad Perimetral
Tema 1. Seguridad PerimetralTema 1. Seguridad Perimetral
Tema 1. Seguridad Perimetral
 
Guía de seguridad proteccion perimetral…clave de la seguridad fisica
Guía de seguridad proteccion perimetral…clave de la seguridad fisica Guía de seguridad proteccion perimetral…clave de la seguridad fisica
Guía de seguridad proteccion perimetral…clave de la seguridad fisica
 

Similar a Seguridad Perimetral - Oscar Gonzalez, Miguel Tolaba

Fundamentos de seguridad informatica
Fundamentos de seguridad informaticaFundamentos de seguridad informatica
Fundamentos de seguridad informaticaiaraoz
 
Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanch4k4n
 
Firewall - tipos - características - software
Firewall - tipos - características - softwareFirewall - tipos - características - software
Firewall - tipos - características - softwareAnaylen Lopez
 
Seguridaddela informacion
Seguridaddela informacionSeguridaddela informacion
Seguridaddela informacionhvillas
 
Intrusion Detection System V1.2
Intrusion Detection System V1.2Intrusion Detection System V1.2
Intrusion Detection System V1.2Roger CARHUATOCTO
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticamarthamnd
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticamarthamnd
 
LinuxWeek 2010 - Client Side Attacks
LinuxWeek 2010 - Client Side AttacksLinuxWeek 2010 - Client Side Attacks
LinuxWeek 2010 - Client Side AttacksMauricio Velazco
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaLorena Arroyo
 
Quobis portfolio corporativo
Quobis portfolio corporativoQuobis portfolio corporativo
Quobis portfolio corporativoQuobis
 
Svt cloud security services - Catalogo de Servicios
Svt cloud security services - Catalogo de ServiciosSvt cloud security services - Catalogo de Servicios
Svt cloud security services - Catalogo de ServiciosJosep Bardallo
 
Gestión de Auditorías de Seguridad
Gestión de Auditorías de SeguridadGestión de Auditorías de Seguridad
Gestión de Auditorías de SeguridadConferencias FIST
 
Genesys Nov 2012 Security
Genesys Nov 2012 SecurityGenesys Nov 2012 Security
Genesys Nov 2012 Securityjgonzalez186
 

Similar a Seguridad Perimetral - Oscar Gonzalez, Miguel Tolaba (20)

Fundamentos de seguridad informatica
Fundamentos de seguridad informaticaFundamentos de seguridad informatica
Fundamentos de seguridad informatica
 
Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakan
 
La nube.
La nube.La nube.
La nube.
 
Firewall - tipos - características - software
Firewall - tipos - características - softwareFirewall - tipos - características - software
Firewall - tipos - características - software
 
Seguridaddela informacion
Seguridaddela informacionSeguridaddela informacion
Seguridaddela informacion
 
Auditoriacharla
AuditoriacharlaAuditoriacharla
Auditoriacharla
 
Seguridad en open solaris
Seguridad en open solarisSeguridad en open solaris
Seguridad en open solaris
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Intrusion Detection System V1.2
Intrusion Detection System V1.2Intrusion Detection System V1.2
Intrusion Detection System V1.2
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
LinuxWeek 2010 - Client Side Attacks
LinuxWeek 2010 - Client Side AttacksLinuxWeek 2010 - Client Side Attacks
LinuxWeek 2010 - Client Side Attacks
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Quobis portfolio corporativo
Quobis portfolio corporativoQuobis portfolio corporativo
Quobis portfolio corporativo
 
Seguridad
SeguridadSeguridad
Seguridad
 
Seguridad4
Seguridad4Seguridad4
Seguridad4
 
Seguridad en redes de computadores
Seguridad en redes de computadoresSeguridad en redes de computadores
Seguridad en redes de computadores
 
Svt cloud security services - Catalogo de Servicios
Svt cloud security services - Catalogo de ServiciosSvt cloud security services - Catalogo de Servicios
Svt cloud security services - Catalogo de Servicios
 
Gestión de Auditorías de Seguridad
Gestión de Auditorías de SeguridadGestión de Auditorías de Seguridad
Gestión de Auditorías de Seguridad
 
Genesys Nov 2012 Security
Genesys Nov 2012 SecurityGenesys Nov 2012 Security
Genesys Nov 2012 Security
 

Último

guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 

Último (13)

guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 

Seguridad Perimetral - Oscar Gonzalez, Miguel Tolaba

  • 1. Seguridad Perimetral // Introducción + Mini Taller Seguridad Perimetral
  • 2. Seguridad Perimetral Seguridad Perimetral // Introducción + Mini Taller • IANUX Soluciones | Comunidad de Software Libre http://ianux.com.ar | http://saltalug.org.ar LPIC Oscar Gonzalez, Ing. Miguel Tolaba Consultor IT, Administrador de Red Security Researcher, Profesor de Sistemas Operativos Instructor LPI Linux MSN+Gtalk: MSN + Gtalk oscar.gonzalez@ianux.com.ar miguel@saltalug.org.ar oscar.gonzalez@saltalug.org.ar Skype: gonzalez_oscar
  • 3. Seguridad Perimetral Seguridad Perimetral // Introducción + Mini Taller Agenda: • Introducción • Breves Definiciones • Soluciones Existentes • Shorewall – Ventajas y Funcionalidades – Instalación y Configuración – Ejemplos de implementación
  • 4. Introducción Seguridad Perimetral // Introducción + Mini Taller • Que es la seguridad? • Que hay que proteger? • De quien hay que protegerlo? • Como Protegerlo?
  • 5. Definiciones • Que es la Seguridad Perimetral? Seguridad Perimetral // Introducción + Mini Taller • Que son Firewalls? • Que son IDS/IPS? • Que son HoneyPots/HoneyNets? • Que es la Alta Disponibilidad? • Que es el Balanceo de Carga? • Que es el Traffic Shaping? • Que es la DMZ? • Que es un Proxy? • Que es NAT? • Que son VLANs?
  • 6. Aclaraciones Seguridad Perimetral // Introducción + Mini Taller • Se debe elegir una política de seguridad antes de iniciar la distribución de los firewalls. • Además del firewall, pueden coexistir otros mecanismos de seguridad, como un servidor de autenticación (LDAP/Kerberos/Radius), un IDS u otros. • No hay reglas a seguir para colocar los firewall salvo las básicas de seguridad y el sentido común.
  • 7. Honeypots Seguridad Perimetral // Introducción + Mini Taller • Se conoce como Honeypots (tarros de miel) a una trampa que se coloca a los atacantes para que dejen sus huellas, expulsarlos o incluso contraatacar. Suele tratarse de un entorno controlado en el que el atacante puede moverse libremente sin que peligre nuestra red. Ejemplos • Sticky: Se usan para ralentizar un ataque. • Sugarcane: Simulando un proxy abierto. • Spamtrap: Una dirección de correo que utilizamos solo para spam.
  • 8. Honeynets Seguridad Perimetral // Introducción + Mini Taller • Una Honeynet es una red de Honeypots. También son entornos altamente controlados. Ofrecen mas información que los Honeypots ya que dan mas libertad al atacante.
  • 9. Honeypots de baja iteraccion Seguridad Perimetral // Introducción + Mini Taller Características • Simulan un sistema operativo o servicios. • Las posibilidades del atacante son mínimas • En Linux: honeyd. Desventajas • Muy simples y por lo tanto es posible detectarlos. • No ofrecen casi información sobre el ataque. • Diseñados para detectar ciertos comportamientos.
  • 10. Honeypots de alta iteraccion Seguridad Perimetral // Introducción + Mini Taller Características • Son sistemas operativos completos. • Están preparados para no comprometer la red. • Difícil de implementar. • Casi exclusivos en entornos de investigación • Ofrecen toda la información que queramos. Desventajas • Dan mucha libertad al atacante. • Si esta mal diseñado puede comprometer a la red. • Depende de la habilidad del administrador.
  • 11. Soluciones de Seguridad Perimetral // Introducción + Mini Taller Firewalls Kernel Support BSD Linux Ejemplo de Soluciones existentes: ClearOS IPCOP Endian Juniper PFSense Shorewall Astaro
  • 12. Funcionalidades Seguridad Perimetral // Introducción + Mini Taller • Acceso remoto (VNC,SSH,Terminal Service,..) • VPN • Control de Trafico (P2P,Voip..) I7Filter, QOS • Panel de Administración Web • Proxy Cache • Control Parental (DansGuardian) • Integración con usuarios LDAPs • Correo Electrónico • Ruteo, DNAT, SNAT....
  • 13. Que nos conviene? Seguridad Perimetral // Introducción + Mini Taller • Utilizamos las soluciones existentes? • Instalamos un Server desde 0? Re:Cuales son las necesidades a cubrir? • La información a custodiar es de vital importancia y necesitamos invertir en seguridad, Que debo tener en cuenta? • Buscamos lograr una integración 100% con soluciones existentes en nuestra empresa, y queremos que dicha integración sea segura, que tenemos en cuenta? • Me interesa la seguridad informática y tenemos tiempo para investigar, por donde empiezo? • Que nivel de seguridad es el conveniente?
  • 14. Hardware Critico Seguridad Perimetral // Introducción + Mini Taller • Placas de red • Memoria RAM • Disco Rigido • Procesador
  • 15. Seguridad Perimetral // Introducción + Mini Taller 2 WAN+DMZ+LAN Esquema de Red 1
  • 16. Seguridad Perimetral // Introducción + Mini Taller 1 WAN+LAN Esquema de Red 2
  • 17. Seguridad Perimetral // Introducción + Mini Taller Load Balancer
  • 18. Seguridad Perimetral // Introducción + Mini Taller Proxy Cache
  • 19. Mini Taller Seguridad Perimetral // Introducción + Mini Taller Agenda: • Consejos y Recomendaciones para la instalación desde 0. • Configuración de Placas de Red, DHCP SQUID Transparent, Shorewall • Troubleshooting “Problemas Comunes”
  • 20. Instalación desde 0 Seguridad Perimetral // Introducción + Mini Taller • Linux Debian • Particionado Seguro • Actualización Automática • Backups Automáticos Local y Remoto • Disaster Recovery (Mondo Rescue) • Logs y notificaciones • Control de integridad • Hardening • Configuración de los servicios de red • Pentesting de cada Servicio
  • 21. Seguridad Perimetral // Introducción + Mini Taller Esquema Básico
  • 22. Particionado Seguridad Perimetral // Introducción + Mini Taller [code][File: /etc/fstab] # <file system> <mount point> <type> <options> <dump> <pass> /dev/sda1 / ext3 nosuid,errors=remount-ro 0 1 /dev/sda7 /home ext3 nodev,nosuid,noexec,usrquota,grpquota 0 2 /dev/sda2 /tmp ext3 nodev,nosuid 0 2 /dev/sda6 /usr ext3 nodev 0 2 /dev/sda5 /var ext3 noatime,nodev,nosuid,noexec 0 2 /dev/sda7 /var/tmp ext3 nodev,nosuid,noexec 0 2 /dev/sda8 /var/log nodev,nosuid,noexec none /dev/shm tmpfs defaults,noexec,nosuid 0 0 /dev/sda9 /cache reiserfs notail,noatime,nodev,nosuid,noexec 0 2 /dev/sda3 none swap sw 0 0 [/code]
  • 23. /etc/hosts Seguridad Perimetral // Introducción + Mini Taller [code][File: /etc/hosts] 127.0.0.1 localhost.localdomain localhost 127.0.1.1 gateway.local.com gateway # The following lines are desirable for IPv6 capable hosts ::1 localhost ip6-localhost ip6-loopback fe00::0 ip6-localnet ff00::0 ip6-mcastprefix ff02::1 ip6-allnodes ff02::2 ip6-allrouters [/code]
  • 24. /etc/hostname Seguridad Perimetral // Introducción + Mini Taller [code][File: /etc/hostname] gateway.local.com [/code]
  • 25. /etc/network/interfaces Seguridad Perimetral // Introducción + Mini Taller [code][File: /etc/network/interfaces] auto lo iface lo inet loopback #WAN auto eth0 iface eth0 inet dhcp #LAN auto eth1 iface eth1 inet static post-down /usr/sbin/ethtool -s eth0 wol g speed 100 duplex full address 192.168.27.1 netmask 255.255.255.0 broadcast 192.168.27.255 dns-nameservers 200.45.191.35 200.45.48.233 192.168.27.1 [/code]
  • 26. Instalando Paquetes Seguridad Perimetral // Introducción + Mini Taller [code][Ejecutar en Consola] aptitude update; aptitude safe-upgrade; apt-get install sudo zsh vim-nox bzip2 ssh ntp ntpdate mutt ssmtp mc ethtool fail2ban iptables iproute perl squid3 dhcp3- server [/code] [code][Ejecutar en Consola] chown proxy:proxy -R /cache/ [/code]
  • 27. /etc/defaults/ Seguridad Perimetral // Introducción + Mini Taller [code][File: /etc/defaults/dhcp3-server] INTERFACES="eth1" [/code]
  • 28. /etc/defaults/dhcp3-server Seguridad Perimetral // Introducción + Mini Taller [code][File: /etc/defaults/dhcp3-server] ddns-update-style none; default-lease-time 86400; max-lease-time 604800; subnet 192.168.27.0 netmask 255.255.255.0 { range 192.168.27.10 192.168.27.50; option subnet-mask 255.255.255.0; option broadcast-address 192.168.27.255; option routers 192.168.27.1; option domain-name-servers 200.45.191.35, 200.45.48.233; option domain-name "local.com"; default-lease-time 600; max-lease-time 7200; } [/code]
  • 29. /etc/squid3/squid.conf [code][File: /etc/squid3/squid.conf][Parte1] Seguridad Perimetral // Introducción + Mini Taller emulate_httpd_log on logfile_rotate 7 cache_store_log none logformat squid %tl %6tr %>a %Ss/%03Hs %<st %rm %ru %un %Sh/%<A %mt pid_filename /var/run/squid.pid access_log /var/log/squid3/access.log squid cache_log /var/log/squid3/cache.log cache_access_log syslog:local6.info cache_store_log none strip_query_terms off log_mime_hdrs off buffered_logs off half_closed_clients off server_persistent_connections off forwarded_for off [/code]
  • 30. /etc/squid3/squid.conf [code][File: /etc/squid3/squid.conf][Parte2] Seguridad Perimetral // Introducción + Mini Taller #Debugging debug_options ALL,1 #debug_options ALL,1 33,2 # Configurar el puerto: http_port 192.168.27.1:3128 transparent visible_hostname gateway.local.com # Configurar el tamaño de los archivos a guardar en la caché maximum_object_size_in_memory 512 KB maximum_object_size 4 MB memory_replacement_policy lru cache_replacement_policy lru quick_abort_min -1 KB [/code]
  • 31. /etc/squid3/squid.conf Seguridad Perimetral // Introducción + Mini Taller [code][File: /etc/squid3/squid.conf][Parte3] # Configurar el tamañe la caché y el tipo de almacenamiento. Usamos .aufs. porque hemos visto que Squid funciona mejor, creando varios threads para manejo de los archivos: cache_dir aufs /cache 19456 16 256 cache_effective_user proxy cache_effective_group proxy #El parátro cache_mem establece la cantidad de memoria para los objetos en transito, objetos frecuentemente utilizados y objetos negativamente utilizados en la cache este parametro esta limitado por la memoria RAM del sistema. cache_mem 150 MB # Especificar los DNSs a usar. Esto es cuando se desea usar otros DNSs distintos a los que están indicados en /etc/resolv.conf: dns_nameservers 200.45.191.35 200.45.48.223 192.168.27.1 [/code]
  • 32. /etc/squid3/squid.conf Seguridad Perimetral // Introducción + Mini Taller [code][File: /etc/squid3/squid.conf][Parte 4] # Configurar los patrones de refresco (refresh_pattern). Esto debe ser configurado con cuidado. # Debian refresh_pattern -i .deb$ 129600 100% 129600 refresh_pattern -i .udeb$ 129600 100% 129600 refresh_pattern -i .gz$ 129600 100% 129600 refresh_pattern -i .bz2$ 129600 100% 129600 refresh_pattern changelogs.ubuntu.com/* 0 1% 1 # Imagenes refresh_pattern -i .gif$ 14400 80% 43200 refresh_pattern -i .tiff?$ 14400 80% 43200 refresh_pattern -i .bmp$ 14400 80% 43200 refresh_pattern -i .jpe?g$ 14400 80% 43200 refresh_pattern -i .xbm$ 14400 80% 43200 ............................................... pueden agregar mas... [/code]
  • 33. /etc/squid3/squid.conf [code][File: /etc/squid3/squid.conf][Parte 5] Seguridad Perimetral // Introducción + Mini Taller # Configurar una ACL que permita a los usuarios de la intranet hacer uso del proxy: acl localhost src 127.0.0.1 acl intranet src 192.168.27.0/255.255.255.0 # Purgar Cache acl PURGE method PURGE http_access allow PURGE localhost http_access deny PURGE # Denegar Youtube cache deny youtube acl blacklist_webs url_regex "/etc/squid3/listas/blacklist_webs" acl manager proto cache_object http_access deny blacklist_webs http_access allow intranet http_access deny manager http_access deny all [/code]
  • 34. Shorewall [code][Ejecutar en Consola] Seguridad Perimetral // Introducción + Mini Taller mkdir -p ~/paquetes/shorewall; cd ~/paquetes/shorewall/; wget http://www.shorewall.net/pub/shorewall/CURRENT_STABLE_VERSION_IS_4.4/shorewall-4.4.1 tar jxvf shorewall-4.*.tar.bz2; cd shorewall-4.*; ./install.sh [/code] [Recomendación SQUID] # 32 MB RAM ----- 1GB CACHE en Disco # 256 descriptores ↔ 4 MB RAM # descriptor=(MemoriaTotal * 256) /4 =(256*256) /4=16384 Editar /etc/sysctl.conf y agregar (fs.file-max = 16384) #Calculando la maxima cantidad de procesos por usuario #max-limite-perproc=(fs.file-max /2)=16384/2=8192 Editar /etc/security/limits.conf y agregar lo siguiente: * soft nofile 8192 * hard nofile 8192 [/Recomendación]
  • 35. Shorewall [code][File: /etc/shorewall/params] Seguridad Perimetral // Introducción + Mini Taller # Log level LOG=ULOG # Interfaz WAN NET_IF=eth0 # Interfaz LAN LAN_IF=eth1 # Subred LAN LOC_SUBNET=192.168.27.0/24 # Sin Internet LAN_NO=192.168.27.10,192.168.27.11,192.168.27.12,192.168.27.13..... # Con Internet LAN_SI=192.168.27.30,192.168.27.31,192.168.27.32,192.168.27.33..... [/code]
  • 36. Shorewall [code][File: /etc/shorewall/interfaces] Seguridad Perimetral // Introducción + Mini Taller #ZONE INTERFACE BROADCAST OPTIONS net $NET_IF detect dhcp,blacklist,tcpflags,routefilter=1,nosmurfs,logmartians=1,nets=(!$LOC_SUBNET) lan1 $LAN_IF detect dhcp,blacklist,tcpflags,nosmurfs,nets=($LOC_SUBNET) [/code] [code][File: /etc/shorewall/zones] #ZONE TYPE OPTIONS IN OUT # OPTIONS OPTIONS fw firewall net ipv4 #Zona Internet lan1 ipv4 #Zona Local [/code] [code][File: /etc/shorewall/masq] $NET_IF $LOC_SUBNET [/code]
  • 37. Shorewall [code][File: /etc/shorewall/policy] Seguridad Perimetral // Introducción + Mini Taller #SOURCE DEST POLICY LOG LEVEL LIMIT:BURST # Policies for traffic originating from the local LAN (loc) lan1 net ACCEPT $LOG lan1 $FW ACCEPT $LOG lan1 all REJECT $LOG # Policies for traffic originating from the firewall ($FW) $FW net ACCEPT $LOG $FW lan1 ACCEPT $LOG $FW all REJECT $LOG # Policies for traffic originating from the Internet zone (net) #net lan2 DROP info net $FW DROP $LOG net lan1 DROP $LOG net all DROP $LOG 8/sec:30 # THE FOLLOWING POLICY MUST BE LAST all all REJECT $LOG [/code]
  • 38. Shorewall [code][File: /etc/shorewall/rules] [parte1] Seguridad Perimetral // Introducción + Mini Taller # Trafico originado en el Firewall (fw) con destino el Internet (net): fw2net # ACCEPT $FW net tcp 80,443,5060,5061 ACCEPT $FW net udp 53,123,5060,5061 ACCEPT $FW net icmp 8 # Trafico originado en el Internet (net) con destino el Firewall (fw): net2fw ACCEPT:$LOG net $FW tcp 22,5060,5061 ACCEPT net $FW udp 53,464,5060,5061 ACCEPT net $FW icmp 8 # Trafico originado en la LAN (loc) con destino el Firewall (fw) ACCEPT:info lan1 $FW tcp 22,3389,88,5060,5061 # Proxy Transparente REDIRECT lan1 3128 tcp 80 - !192.168.27.99 ACCEPT lan1 $FW udp 53,123,3389,88,135,139,445,5060,5061 ACCEPT lan1 $FW icmp 8
  • 39. Shorewall [code][File: /etc/shorewall/rules][parte 2] Seguridad Perimetral // Introducción + Mini Taller # Trafico originado en la LAN (loc) con destino el Internet (net): loc2net REJECT lan1:$LAN_NO net tcp 80,110,143,443,587,993,1863,5323 ACCEPT lan1:$LAN_SI net tcp 80 # HTTP ACCEPT lan1:$LAN_SI net tcp 22 # SSH ACCEPT lan1:$LAN_SI net tcp 21 # FTP ACCEPT lan1:$LAN_SI net tcp 25 # CORREO ACCEPT lan1:$LAN_SI net tcp 53 # DNS ACCEPT lan1:$LAN_SI net tcp 110 # POP3 ACCEPT lan1:$LAN_SI net tcp 143 # IMAP ACCEPT lan1:$LAN_SI net tcp 443 # HTTPS ACCEPT lan1:$LAN_SI net tcp 587 # SMTP SUbmission ACCEPT lan1:$LAN_SI net tcp 993 # IMAP sobre SSL ACCEPT lan1:$LAN_SI net tcp 995 # POP3 sobre SSL ACCEPT lan1:$LAN_SI net tcp 1863 # MSN Messenger ACCEPT lan1:$LAN_SI net tcp 6667 # IRC ACCEPT lan1:$LAN_SI net tcp 5223 # Jabber SSL/TLS [/code]
  • 40. Shorewall [code][File: /etc/shorewall/rules][parte 3] Seguridad Perimetral // Introducción + Mini Taller ACCEPT $FW lan1 tcp 22,53,88,135,139,445,5060,5061 ACCEPT $FW lan1 udp 88,5060,5061 SSH/ACCEPT lan1 $FW SSH/ACCEPT $FW lan1 Ping/DROP net $FW Ping/ACCEPT lan1:$LAN_SI $FW Ping/ACCEPT lan1:$LAN_SI net Ping/DROP lan1:$LAN_NO net ACCEPT $FW net icmp ACCEPT $FW lan1 icmp [/code]
  • 41. Shorewall [code][File: /etc/shorewall/blacklist] Seguridad Perimetral // Introducción + Mini Taller $LAN_NO udp 53 $LAN_NO tcp 80,3128 - udp 1024:1862,1864:3127,3129:5221,5223:6666,6668:49151,49152:65535 - tcp 1024:1862,1864:3127,3129:5221,5223:6666,6668:49151,49152:65535 [/code] [code][File: /etc/shorewall/shorewall.conf] STARTUP_ENABLED=Yes [/code] [code][File: /etc/default/shorewall] startup=1 [/code]
  • 42. Quiero Mas!!! Seguridad Perimetral // Introducción + Mini Taller • PortKnocking Alguien alguna vez toco una puerta para poder entrar en una casa? Que es? Como se toca la puerta? • SSL + PortKnocking Cuando sus vecinos vieron como toca la puerta y donde deja la llave, Que medidas puede tomar? • Balanceo de Internet (Multi WANs) /etc/shorewall/providers Alguien tiene N conexiones WAN y no sabe como utilizarlas en conjunto?
  • 43. Seguridad Perimetral // Introducción + Mini Taller Dudas? | Preguntas? Sugerencias ? | Reclamos?
  • 44. Seguridad Perimetral // Introducción + Mini Taller Muchas Gracias A todos, en especial a los organizadores por hacernos sentir muy cómodos CCBOL 2010, Trinidad Beni, Bolivia
  • 45. Seguridad Perimetral // Introducción + Mini Taller
  • 46. Seguridad Perimetral // Introducción + Mini Taller
  • 47. Seguridad Perimetral // Introducción + Mini Taller
  • 48. Seguridad Perimetral // Introducción + Mini Taller
  • 49. Seguridad Perimetral // Introducción + Mini Taller LPIC Oscar Gonzalez, Ing. Miguel Tolaba Consultor IT, Administrador de Red Security Researcher, Profesor de Sistemas Operativos Instructor LPI Linux MSN+Gtalk: MSN + Gtalk oscar.gonzalez@ianux.com.ar miguel@saltalug.org.ar oscar.gonzalez@saltalug.org.ar Skype: gonzalez_oscar