Pablo Trigo, administrador de sistemes a Nominalia i expert en seguretat, ens parlarà de les bones pràctiques en la gestió de servidors, els atacs més comuns a Internet i les possibles solucions a aquestes amenaces.
Solucions pràctiques de diferent nivell (començarem per les més senzilles) per a la protecció de servidors evitant que usuaris malintencionats hi tinguin accés.
Enregistrament del webinar
PROFESSOR
Pau Blat
Administrador de sistemes
a Nominalia
DATA
23 maig 2013
TEMPS
16: 00h
DURADA
60min
Responem totes les teves preguntes!
Si tinc tots els servidors units a un per seguretat i m'aconsegueixen llençar aquest, se m'anirien tots a baix automàticament?
La resposta és sí, però precisament aquest servidor (Bastion host) només té la funcionalitat de donar seguretat, per la qual cosa si l'atac és satisfactori, aquesta màquina caurà i amb ella totes a què dóna servei. Cal entendre que aquestes solucions són de “baix cost” i que hi ha equips empresarials destinats a aquest tipus de missió, depenent de quina informació o servei s'estigui oferint hem d'adequar la defensa al risc que suposa perdre aquest control.
Si m'han atacat el server i tinc un backup, com puc esbrinar el motiu per no reinstal·lar un servidor vulnerable?
Si el temps ens ho permet s'hauria de restaurar en un entorn controlat (sorral) per auditar i eliminar les possibles vulnerabilitats per les quals el servidor ha estat atacat, per això podem utilitzar Nessus o Openvas per a aquesta finalitat.
Hola. Actualment ConfigServer és el millor programari? Quin més programari lliure ens recomanes? Gràcies.
Hi ha ConfigServer per a Windows o és per a Linux?
ConfigServer divideix les connexions depenent del nombre de targetes de xarxa?
Posar la web de la meva petita empresa en un servidor dedicat em garanteix més seguretat?
A nivell físic sí (si es troba en un datacenter), en canvi, la seguretat davant les amenaces d'Internet dependrà de la destresa de l'administrador a l'hora de configurar les eines que garanteixin la seguretat del servidor. La persona que adquireix un servidor dedicat és responsable de realitzar les pròpies tasques de manteniment per tenir sempre la màquina actualitzada i poder fer front a possibles amenaces.
Un símil seria una parcel·la per construir una casa: el proveïdor de servidors, per exemple Nominalia, seria qui posa la parcel·la i el propietari del servidor, que és qui l'administra, seria el paleta o arquitecte: com es facin els fonaments i la construcció de la casa en depèn, no de qui posa el terreny.
L'actualització de la instal·lació Linux seleccionada és automàtica?
Quantes visites simultànies aguanta un servidor de Nominalia?
Depèn del que estigui servint aquest servidor. Donaré un exemple de com quantificar això:
a. Haurem d'avaluar els paràmetres següents de la màquina:
- Velocitat d'escriptura i lectura de discos
– Ample de banda
– Capacitat de procés
Segons aquests paràmetres, podrem saber el volum de connexions que pot suportar un servidor. Per exemple, un servidor que tingui vídeos en streaming no consumirà el mateix que un servidor que tingui una pàgina estàtica.
Un petit test per avaluar el rendiment del servidor web Apache, es pot fer de la següent manera:
Executar la següent ordre des d'una màquina amb sistema operatiu Linux:
ab -n 1000 -c 5 http://www.paginaatestear.com
el N és la quantitat de connexions
el C és la concurrència de les connexions (quantes es fan alhora)
Amb aquesta eina podrem veure el temps de resposta en funció de les peticions que ens arriben i tindre una idea del rendiment que tindrà la màquina.
Bona tarda, la pregunta, o millor, comentari, que sembla a Pablo (en windows) pre-fixar les IP's autoritzades per a accés al RDP. Un atac afectaria el rendiment?
Bona tarda. Les auditories de seguretat poden provocar una caiguda de servei per simular un atac?
En principi no si està ben feta, per això abans d'aventurar-se a auditar el servidor seria recomanable fer-ho en un entorn de test com Virtualbox, Per exemple.
Hola! Quina opinió us mereixen serveis de CND com Cloudflare o Cloudcache com a mecanismes de seguretat? N'heu fet servir algun? Una salutació.
Hi ha alguna formació específica per mantenir la seguretat en servidors?
Hi ha moltes certificacions de seguretat. Recomanaria primer unes bases a Linux/Windows i xarxes abans d'aventurar-se al món de la seguretat, si hagués de recomanar formació seria:
– LPIC-1,2 (Linux)
– MCTS Windows Server
– Comptia Network+ o CCNA de Cisco
– Certified Ethical Hacker d'EC-Council
Amb el material que s'ofereix en aquestes certificacions podem arribar a un nivell professional pel que fa a l'administració de servidors.
Com podem balancejar la càrrega als servidors web per repartir les connexions i no quedar-nos sense servei?
Una de les solucions que existeixen per programari a Linux és HAproxy, és un programari complex i requereix força coneixement per instal·lar-lo. En aquests casos és millor una solució per maquinari si no volem estar molt de temps configurant una eina així.
Hola. Com es podrien aplicar aquestes mesures de seguretat als servidors Windows?
Per aplicar aquestes mesures a Windows (Windows server) se segueix més o menys el mateix patró, es procediria de la següent manera:
Hardening del protocol RDP (Remote Desktop Protocol):
a. Canvi del port estàndard de connexió (http://support.microsoft.com/kb/306759):
a.1. Inicieu l'Editor del Registre(Regedit)
a.2. Busca la subclau següent del Registre i fes-hi clic:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber
a.3. Al menú Edició, feu clic a Modifica i, a continuació, a Decimal.
a.4. Escriviu el nou número de port i feu clic a D'acord.
a.5. Sal de l'Editor del Registre.
a.6. Reinicieu l'ordinador.
b. Treure privilegis a l'usuari administrador o canviar aquest usuari.
c. Modificar les polítiques de connexió d'escriptori remot
d. Usar IPSEC al protocol RDP(http://support.microsoft.com/kb/942957)