1
Single Point of Audit & Control (SPAC)(Control Administrativo en el CPD)
Manuel GilConsultor SeguridadSUN Microsystems Ibérica
1
Sun Confidential: Internal Only 2
Contenido
• Problema en la Gestión de Grandes CPD• Características Comunes• Marco de Seguridad del CPD• Objetivos SPAC• Piezas SPAC• Mapa de Procesos• Configuración SPAC• Sistema Alertas• Portal Explotación Logs
Sun Confidential: Internal Only 3
Problema de seguridad en el CPD
• Mecanismos de control de acceso.• Confidencialidad en Comunicaciones• Controlar la identidad de los
Administradores• Asignación de privilegios a usuarios• Repositorios centralizados de
información de los usuarios.• Configuración segura de los
servidores.• Verificación de integridad en los
servidores.• Detección de intrusos• Auditoria detallada de la operación de
los usuarios.• ....
Sun Confidential: Internal Only 4
Nuestro Sistema Frente a Riesgos
Sun Confidential: Internal Only 5
Necesidades de Seguridad en el CPD
• Mecanismos de Control de Usuarios Administrativos.• Mecanismos de Control de Sistema / Red.• Mecanismos de Control de Auditoría.
Solución
• SPAC (Single Point of Audit & Control)
Características Comunes
Sun Confidential: Internal Only 6
Sun Confidential: Internal Only 7
SPAC (Single Point of Audit & Control)
• Portal de acceso a las aplicaciones administrativas• Unificacion de identidades de administradores• Unificación de herramientas de gestión/administración• Auditoría de actividades usuarios administrativos.• Centralización logs y sesiones de usuarios• Repositorio central de información• Alertas ante eventos.• Monitor actividades sospechosas• Reproducción sesiones usuarios (video/caracteres)• ...
Características
Sun Confidential: Internal Only 8
Objetivos de SPAC
• Autenticación: Ofrecemos conocimiento de la identidad real del usuario administrativo en todo momento.• Integridad: Seguridad en la conexión, todos los
protocolos usados entre los usuarios administradores y las pasarelas, serán seguros y basados en estándares.
Sun Confidential: Internal Only 9
Objetivos de SPAC
• Confidencialidad: Mediante los canales seguros de comunicación, será imposible la copia, traspaso o alteración de la información enviada/recibida.• Auditoría: Será posible detectar las actividades de
los usuarios y acciones realizadas en sistemas remotos, reproducirlas y utilizarlas en análisis posteriores tanto en tiempo real como mediante la búsqueda de actividades en logs históricos.
Sun Confidential: Internal Only 10
Piezas de SPAC• Repositorio de Usuarios: Se crea un repositorio
de usuarios administrativos centralizado, basado en LDAP.• Portal: Se implementa un portal de acceso a las
aplicaciones administrativas internas del CPD mediante protocolos seguros y estándares HTTP/HTTPS.• Sistemas Auditores: Se fijan controles de auditoría
y acceso, integrado perfectamente en el portal, con captura de videos de sesiones X11/Windows y captura de sesiones SSH/Telnet completas; restricción de accesos; trabajo en equipo.
Sun Confidential: Internal Only 11
Piezas de SPAC
• Centralización Logs/BBDD: Toda la información relativa a conexiones se almacena en un repositorio de información centralizado y todos los accesos son registrados en Base de Datos.• Portal Explotación: Plataforma de administración
de la actividad en las pasarelas; análisis de logs, búsqueda en histórico, monitor de actividad, gestor de alarmas y eventos; reproducción de sesiones X11/Windows, SSH/Telnet; y generación de informes diarios, semanales, mensuales y bajo demanda de eventos y actividad
Sun Confidential: Internal Only 12
Sun Confidential: Internal Only 13
Pantalla Principal Portal
Expiración de Password
Grupo Principal - Rol
Aplicaciones
Sun Confidential: Internal Only 14
Procesos de la Plataforma
• Planificación del Servicio. Creación de límites y derechos.• Alta Usuarios/Grupos/Roles. División de usuarios
adminsitrativos mediante grupos/roles.• Configuración Aplicaciones. Definición de los
elementos físicos del servicio.• Configuración Auditoría. Perfiles avanzados de
las aplicaciones
Sun Confidential: Internal Only 15
Sun Confidential: Internal Only 16
Planificación del Acceso
Sun Confidential: Internal Only 17
Usuarios / Grupos / Roles
• Una vez planificado el servicio, definiremos en elLDAP, el grupo principal, roles que asumirá cada usuario y finalmente los usuarios del servicio a administrar.
Acciones LDAPGrupo Principal Rol / Grupo Particular Usuarios
Plataforma AAA (usuarios:juan, antonio y pedro ) =plataforma-AAA
Aplicaciones UNIX = pAunix juan
Aplicaciones X11 = pAxapps juan, antonio
Aplicaciones HTTP = pAhttp pedro
Sun Confidential: Internal Only 18
Configuración Aplicaciones
• A través del Portal se darán de alta todos los Nodos y Aplicaciones que componen la plataforma a administrar.
Acciones Portal
Aplicaciones SistemasSSH UNIX1SSH UNIX2admintool UNIX1firefox UNIX1xload UNIX2HTTP http://unix2:4556/admin/
Sun Confidential: Internal Only 19
Integración con Directorio
• Lo normal será autorizar por grupos/roles:
cn=pAunix,ou=group,dc=prod,dc=airtel,dc=es
• El grupo “pAunix” tiene como miembros:
ldap:///dc=prod,dc=airtel,dc=es??sub?(&(vfsgdgrupo=plataforma-AAA)(vfsgdrol=pAunix))
Sun Confidential: Internal Only 20
Configuración Auditoría
• Gestión: Podemos conocer en cualquier momento, las aplicaciones que se están ejecutando, por quien, detenerlas, grabarlas, asistir, ... • Cooperación: Se pueden establecer programas de
cooperación entre usuarios para el control de las actividades.• Control: Podemos prefijar franjas horarias de
trabajo para los usuarios de la plataforma.
Perflles Avanzados de la Aplicación
Sun Confidential: Internal Only 21
Configuración Auditoría
• Grabación Sesiones Gráficas: Todas las aplicaciones gráficas pueden ser grabadas en formato video.• Captura Sesiones (SSH/Telnet): Todas las
aplicaciones en modo caracter, son capturadas y pueden ser reproducidas.• Transferencia de Ficheros: Se permite la
transferencia de ficheros entre sistemas internos y los puestos de los usuarios, con auditoría.
Perflles Avanzados de la Aplicación
Sun Confidential: Internal Only 22
Transferencia de Ficheros
• Nunca de forma directa.
Sun Confidential: Internal Only 23
Aplicaciones HTTP
• Todo el tráfico HTTP es enviado a través de Proxy Reverse, con controles de auditoría y alertas implementados.> Alertas de Sitios> Alertas de
Transferencias> Alertas de URL's
Sun Confidential: Internal Only 24
Sun Confidential: Internal Only 25
Alertas y Monitor de Actividades Sospechosas• Utilizamos una base de datos (configurable por el cliente)
con nuestras palabras y sistemas reservados, de modo que podamos generar alarmas en base a ellas.> A través de aplicaciones modo carácter (SSH/Telnet),
podemos capturar las palabras reservadas escritas en la sesión para generar alarmas. Por ejemplo palabras como “pkgadd” y “patchadd” nos alertas sobre quién está instalando software en el sistema.
> Los sistemas reservados son utilizados por todas las aplicaciones y generan una alarma por cada conexión a ellos.
Sun Confidential: Internal Only 26
Sun Confidential: Internal Only 27
Sun Confidential: Internal Only 28
Monitorización SGD
Sun Confidential: Internal Only 29
Reproduciendo Sesión SSH Capturada
Sun Confidential: Internal Only 30
Alertas Palabras Reservadas
Sun Confidential: Internal Only 31
Reserved Sites Alerts
Sun Confidential: Internal Only 32
Alertas Transferencias HTTP
Sun Confidential: Internal Only 33
Composición Hardware• 1 ó 2 Sistemas Sun Fire X4500
(x64 Server)> CPU 2 x AMD Opteron Model Dual
Core 290 (2.8Ghz/1Mb)> 16Gb RAM> 48 x 250Gb Discos Internos (SATA) =
12Tb> 4 x 10/100/1000 BaseT Ethernet Ports