CAPACITACIÓN

En este módulo se ve el Hardening de servidores Linux/Unix, a través de configuraciones y estándares de seguridad, así como la instalación del software necesario. También incluiremos consejos sobre mejores prácticas de registro, auditoría y cumplimiento. Todo esto ayuda con la detección temprana en caso de que sus servidores se vean comprometidos.

Requisitos: Conocimientos de Linux y redes TCP/IP.

Duración: 12 hrs.

TEMARIO:

Gestión de Seguridad de la Información ISO/IEC 27001:2022

• Introducción a la seguridad de la información
• Conceptos y definiciones de la Norma ISO 27001:2022
• Gestión de la seguridad de la información, para proteger a una organización de las amenazas internas y externas
• Objetivos de la seguridad en TI: Confidencialidad, Disponibilidad, Integridad, No repudio
• Estructura y gobierno de la seguridad de la información
• Riesgos y estrategias de la seguridad de la información
• Eventos incidentes y dominios de control
• Pruebas, sensibilización y evaluación de SGSI

Marco de ciberseguridad del NIST

• Estándares de ciberseguridad aceptados: NIST SP 800-53, COBIT^® 5, ISO/IEC 27001:2022 y CIS^® CSC
• Estructura central del marco de ciberseguridad del NIST
• Niveles de implementación del marco NIST
• Establecimiento de un programa de gestión de riesgos de ciberseguridad del marco NIST

Hardening (Blindaje) a Servidores Linux/Unix

• Instalación segura de servidores Linux/Unix
• Estándares de seguridad básicos para S.O de red
• Instalación segura, particiones y seguridad
• Particiones primarias, extendidas y lógicas
• Sistema RAID (Redundant Array of Inexpensive Disks)
• Hardware RAID vs. Software RAID
• Elección del método de arranque
• Implementación de Sistemas RAID
• Creación de LVM (Logical Volume Management) paso a paso

Arquitectura de Hardening al sistema operativo

• Explicación de los archivos /etc/passwd /etc/group /etc/shadow
• Gestión de usuarios y grupos
• Comandos para cambiar la propiedad de un elemento: chgrp y chown
• Cambio de permisos de archivos y directorios en Linux/Unix con chmod
• Cambiar permisos con chmod en modo octal (números)
• Permisos especiales de Linux: setUID, setGID y Sticky bit
• Prácticas con permisos especiales de Linux
• Listas de Control de Acceso (ACL)
• Los atributos del sistema de ficheros de Linux: lsattr y chattr
• Seguridad en los privilegios de usuario: sudo y sudoers
• Supervisar actividad de usuarios: who, last y w
• Establecer la complejidad de las contraseñas de login en Linux
• Bloqueo a usuarios con intentos de acceso fallidos
• Configuración de bloqueador de ataques de fuerza bruta
• Encontrar posibles riesgos en el uso del sistema de ficheros
• permisos peligrosos en el sistema de ficheros
• supervisar el uso de ficheros con lsoft y fuser
• Monitoreo de disco: comandos du y df
• Comandos para supervisar y administrar procesos Linux
• Controlar la carga del sistema. Uso de memoria y cpu

Habilitar SELinux

• Activar el mecanismo de control de acceso integrado Security-Enhanced Linux (SELinux)

Política de contraseñas fuertes

• Las mejores prácticas para crear contraseñas
• Deshabilite las cuentas con contraseñas vacías
• Solicite a los usuarios que establezcan contraseñas seguras
• Deshabilitar la cuenta root
• Uso de sudo, para una mejor auditoría y control
• Técnicas para generar contraseñas más seguras y más difíciles adivinar

Eliminar paquetes innecesarios

• Enumere todos los paquetes y el software instalado en sus servidores utilizando sus administradores de paquetes (apt, yum, dpkg)
• Desinstalar programas innecesarios

Kernel y Paquetes actualizados

• paquetes actualizados con las últimas actualizaciones de seguridad para evitar la explotación de vulnerabilidades conocidas

Hardening a Networking

• Deshabilitar ICMP
• Explotar ICMP para obtener información sobre las redes atacadas
• Ataques maliciosos que incluyen descubrimiento de red
• canales de comunicación encubiertos y redirecciones de tráfico de red
• Ping sweep.- los atacantes usan esto para identificar todos los hosts en una red.
• Ping flood.- los atacantes pueden enviar mensajes ICMP en rápida sucesión, provocando el agotamiento del ancho de banda entrante y saliente

Deshabilitar IPv6

• Si no utilizan el protocolo IPv6
• Desactivación desde /etc/sysconfig/network

Secure Shell Protocol

• Configuración de IPTables y el acceso SSH desde IP conocidas
• Autenticación basada en claves
• Configuración del servidor y inicio de sesión root

Cierre de puertos innecesarios

• Uso de netstat para escuchar conexiones entrantes
• Desactivación y eliminación de conexiones entrantes sospechosas
• Bloqueo de puertos no utilizados

Configuración del Firewall

• Uso de Linux IPTables para el control incoming, outgoing y forwarded para proteger servidores
• Configuración de reglas para permitir y denegar tráfico desde IP especificas

Registro y auditoría

• Registro y la auditoría detallados habilitados para sus servidores
• Detección de intentos de intrusión
• Medición del alcance de la violación e información para una autopsia
• Syslog y el directorio /var/log
• Funcionamiento del demonio rsyslog
• Práctica: configuración de rsyslog
• Uso de journalctl para filtrar mensajes del sistema

Copias de seguridad periódicas

• Configuración de copias de seguridad de datos

Monitoreo de amenazas y cumplimiento

• Estas herramientas monitorean constantemente toda su infraestructura, identificando y deteniendo códigos maliciosos o no autorizados cuando intentan ejecutarse