MASTER EN CIBERSEGURIDAD Y HACKING ÉTICO
> HARDENING EN SERVIDORES LINUX/UNIX / ISO 27001:2022
En este módulo se ve el Hardening de servidores Linux/Unix, a través de configuraciones y estándares de seguridad, así como la instalación del software necesario. También incluiremos consejos sobre mejores prácticas de registro, auditoría y cumplimiento. Todo esto ayuda con la detección temprana en caso de que sus servidores se vean comprometidos.
Requisitos: Conocimientos de Linux y redes TCP/IP.
Duración: 12 hrs.
TEMARIO:
Gestión de Seguridad de la Información ISO/IEC 27001:2022
- Introducción a la seguridad de la información
- Conceptos y definiciones de la Norma ISO 27001:2022
- Gestión de la seguridad de la información, para proteger a una organización de las amenazas internas y externas
- Objetivos de la seguridad en TI: Confidencialidad, Disponibilidad, Integridad, No repudio
- Estructura y gobierno de la seguridad de la información
- Riesgos y estrategias de la seguridad de la información
- Eventos incidentes y dominios de control
- Pruebas, sensibilización y evaluación de SGSI
Marco de ciberseguridad del NIST
- Estándares de ciberseguridad aceptados: NIST SP 800-53, COBIT® 5, ISO/IEC 27001:2022 y CIS® CSC
- Estructura central del marco de ciberseguridad del NIST
- Niveles de implementación del marco NIST
- Establecimiento de un programa de gestión de riesgos de ciberseguridad del marco NIST
Hardening (Blindaje) a Servidores Linux/Unix
- Instalación segura de servidores Linux/Unix
- Estándares de seguridad básicos para S.O de red
- Instalación segura, particiones y seguridad
- Particiones primarias, extendidas y lógicas
- Sistema RAID (Redundant Array of Inexpensive Disks)
- Hardware RAID vs. Software RAID
- Elección del método de arranque
- Implementación de Sistemas RAID
- Creación de LVM (Logical Volume Management) paso a paso
Arquitectura de Hardening al sistema operativo
- Explicación de los archivos /etc/passwd /etc/group /etc/shadow
- Gestión de usuarios y grupos
- Comandos para cambiar la propiedad de un elemento: chgrp y chown
- Cambio de permisos de archivos y directorios en Linux/Unix con chmod
- Cambiar permisos con chmod en modo octal (números)
- Permisos especiales de Linux: setUID, setGID y Sticky bit
- Prácticas con permisos especiales de Linux
- Listas de Control de Acceso (ACL)
- Los atributos del sistema de ficheros de Linux: lsattr y chattr
- Seguridad en los privilegios de usuario: sudo y sudoers
- Supervisar actividad de usuarios: who, last y w
- Establecer la complejidad de las contraseñas de login en Linux
- Bloqueo a usuarios con intentos de acceso fallidos
- Configuración de bloqueador de ataques de fuerza bruta
- Encontrar posibles riesgos en el uso del sistema de ficheros
- permisos peligrosos en el sistema de ficheros
- supervisar el uso de ficheros con lsoft y fuser
- Monitoreo de disco: comandos du y df
- Comandos para supervisar y administrar procesos Linux
- Controlar la carga del sistema. Uso de memoria y cpu
Habilitar SELinux
- Activar el mecanismo de control de acceso integrado Security-Enhanced Linux (SELinux)
Política de contraseñas fuertes
- Las mejores prácticas para crear contraseñas
- Deshabilite las cuentas con contraseñas vacías
- Solicite a los usuarios que establezcan contraseñas seguras
- Deshabilitar la cuenta root
- Uso de sudo, para una mejor auditoría y control
- Técnicas para generar contraseñas más seguras y más difíciles adivinar
Eliminar paquetes innecesarios
- Enumere todos los paquetes y el software instalado en sus servidores utilizando sus administradores de paquetes (apt, yum, dpkg)
- Desinstalar programas innecesarios
Kernel y Paquetes actualizados
- paquetes actualizados con las últimas actualizaciones de seguridad para evitar la explotación de vulnerabilidades conocidas
Hardening a Networking
- Deshabilitar ICMP
- Explotar ICMP para obtener información sobre las redes atacadas
- Ataques maliciosos que incluyen descubrimiento de red
- canales de comunicación encubiertos y redirecciones de tráfico de red
- Ping sweep.- los atacantes usan esto para identificar todos los hosts en una red.
- Ping flood.- los atacantes pueden enviar mensajes ICMP en rápida sucesión, provocando el agotamiento del ancho de banda entrante y saliente
Deshabilitar IPv6
- Si no utilizan el protocolo IPv6
- Desactivación desde /etc/sysconfig/network
Secure Shell Protocol
- Configuración de IPTables y el acceso SSH desde IP conocidas
- Autenticación basada en claves
- Configuración del servidor y inicio de sesión root
Cierre de puertos innecesarios
- Uso de netstat para escuchar conexiones entrantes
- Desactivación y eliminación de conexiones entrantes sospechosas
- Bloqueo de puertos no utilizados
Configuración del Firewall
- Uso de Linux IPTables para el control incoming, outgoing y forwarded para proteger servidores
- Configuración de reglas para permitir y denegar tráfico desde IP especificas
Registro y auditoría
- Registro y la auditoría detallados habilitados para sus servidores
- Detección de intentos de intrusión
- Medición del alcance de la violación e información para una autopsia
- Syslog y el directorio /var/log
- Funcionamiento del demonio rsyslog
- Práctica: configuración de rsyslog
- Uso de journalctl para filtrar mensajes del sistema
Copias de seguridad periódicas
- Configuración de copias de seguridad de datos
Monitoreo de amenazas y cumplimiento
- Estas herramientas monitorean constantemente toda su infraestructura, identificando y deteniendo códigos maliciosos o no autorizados cuando intentan ejecutarse