1

Single Point of Audit & Control (SPAC)(Control Administrativo en el CPD)

Manuel GilConsultor SeguridadSUN Microsystems Ibérica

1

Sun Confidential: Internal Only 2

Contenido

• Problema en la Gestión de Grandes CPD• Características Comunes• Marco de Seguridad del CPD• Objetivos SPAC• Piezas SPAC• Mapa de Procesos• Configuración SPAC• Sistema Alertas• Portal Explotación Logs

Sun Confidential: Internal Only 3

Problema de seguridad en el CPD

• Mecanismos de control de acceso.• Confidencialidad en Comunicaciones• Controlar la identidad de los

Administradores• Asignación de privilegios a usuarios• Repositorios centralizados de

información de los usuarios.• Configuración segura de los

servidores.• Verificación de integridad en los

servidores.• Detección de intrusos• Auditoria detallada de la operación de

los usuarios.• ....

Sun Confidential: Internal Only 4

Nuestro Sistema Frente a Riesgos

Sun Confidential: Internal Only 5

Necesidades de Seguridad en el CPD

• Mecanismos de Control de Usuarios Administrativos.• Mecanismos de Control de Sistema / Red.• Mecanismos de Control de Auditoría.

Solución

• SPAC (Single Point of Audit & Control)

Características Comunes

Sun Confidential: Internal Only 6

Sun Confidential: Internal Only 7

SPAC (Single Point of Audit & Control)

• Portal de acceso a las aplicaciones administrativas• Unificacion de identidades de administradores• Unificación de herramientas de gestión/administración• Auditoría de actividades usuarios administrativos.• Centralización logs y sesiones de usuarios• Repositorio central de información• Alertas ante eventos.• Monitor actividades sospechosas• Reproducción sesiones usuarios (video/caracteres)• ...

Características

Sun Confidential: Internal Only 8

Objetivos de SPAC

• Autenticación: Ofrecemos conocimiento de la identidad real del usuario administrativo en todo momento.• Integridad: Seguridad en la conexión, todos los

protocolos usados entre los usuarios administradores y las pasarelas, serán seguros y basados en estándares.

Sun Confidential: Internal Only 9

Objetivos de SPAC

• Confidencialidad: Mediante los canales seguros de comunicación, será imposible la copia, traspaso o alteración de la información enviada/recibida.• Auditoría: Será posible detectar las actividades de

los usuarios y acciones realizadas en sistemas remotos, reproducirlas y utilizarlas en análisis posteriores tanto en tiempo real como mediante la búsqueda de actividades en logs históricos.

Sun Confidential: Internal Only 10

Piezas de SPAC• Repositorio de Usuarios: Se crea un repositorio

de usuarios administrativos centralizado, basado en LDAP.• Portal: Se implementa un portal de acceso a las

aplicaciones administrativas internas del CPD mediante protocolos seguros y estándares HTTP/HTTPS.• Sistemas Auditores: Se fijan controles de auditoría

y acceso, integrado perfectamente en el portal, con captura de videos de sesiones X11/Windows y captura de sesiones SSH/Telnet completas; restricción de accesos; trabajo en equipo.

Sun Confidential: Internal Only 11

Piezas de SPAC

• Centralización Logs/BBDD: Toda la información relativa a conexiones se almacena en un repositorio de información centralizado y todos los accesos son registrados en Base de Datos.• Portal Explotación: Plataforma de administración

de la actividad en las pasarelas; análisis de logs, búsqueda en histórico, monitor de actividad, gestor de alarmas y eventos; reproducción de sesiones X11/Windows, SSH/Telnet; y generación de informes diarios, semanales, mensuales y bajo demanda de eventos y actividad

Sun Confidential: Internal Only 12

Sun Confidential: Internal Only 13

Pantalla Principal Portal

Expiración de Password

Grupo Principal - Rol

Aplicaciones

Sun Confidential: Internal Only 14

Procesos de la Plataforma

• Planificación del Servicio. Creación de límites y derechos.• Alta Usuarios/Grupos/Roles. División de usuarios

adminsitrativos mediante grupos/roles.• Configuración Aplicaciones. Definición de los

elementos físicos del servicio.• Configuración Auditoría. Perfiles avanzados de

las aplicaciones

Sun Confidential: Internal Only 15

Sun Confidential: Internal Only 16

Planificación del Acceso

Sun Confidential: Internal Only 17

Usuarios / Grupos / Roles

• Una vez planificado el servicio, definiremos en elLDAP, el grupo principal, roles que asumirá cada usuario y finalmente los usuarios del servicio a administrar.

Acciones LDAPGrupo Principal Rol / Grupo Particular Usuarios

Plataforma AAA (usuarios:juan, antonio y pedro ) =plataforma-AAA

Aplicaciones UNIX = pAunix juan

Aplicaciones X11 = pAxapps juan, antonio

Aplicaciones HTTP = pAhttp pedro

Sun Confidential: Internal Only 18

Configuración Aplicaciones

• A través del Portal se darán de alta todos los Nodos y Aplicaciones que componen la plataforma a administrar.

Acciones Portal

Aplicaciones SistemasSSH UNIX1SSH UNIX2admintool UNIX1firefox UNIX1xload UNIX2HTTP http://unix2:4556/admin/

Sun Confidential: Internal Only 19

Integración con Directorio

• Lo normal será autorizar por grupos/roles:

cn=pAunix,ou=group,dc=prod,dc=airtel,dc=es

• El grupo “pAunix” tiene como miembros:

ldap:///dc=prod,dc=airtel,dc=es??sub?(&(vfsgdgrupo=plataforma-AAA)(vfsgdrol=pAunix))

Sun Confidential: Internal Only 20

Configuración Auditoría

• Gestión: Podemos conocer en cualquier momento, las aplicaciones que se están ejecutando, por quien, detenerlas, grabarlas, asistir, ... • Cooperación: Se pueden establecer programas de

cooperación entre usuarios para el control de las actividades.• Control: Podemos prefijar franjas horarias de

trabajo para los usuarios de la plataforma.

Perflles Avanzados de la Aplicación

Sun Confidential: Internal Only 21

Configuración Auditoría

• Grabación Sesiones Gráficas: Todas las aplicaciones gráficas pueden ser grabadas en formato video.• Captura Sesiones (SSH/Telnet): Todas las

aplicaciones en modo caracter, son capturadas y pueden ser reproducidas.• Transferencia de Ficheros: Se permite la

transferencia de ficheros entre sistemas internos y los puestos de los usuarios, con auditoría.

Perflles Avanzados de la Aplicación

Sun Confidential: Internal Only 22

Transferencia de Ficheros

• Nunca de forma directa.

Sun Confidential: Internal Only 23

Aplicaciones HTTP

• Todo el tráfico HTTP es enviado a través de Proxy Reverse, con controles de auditoría y alertas implementados.> Alertas de Sitios> Alertas de

Transferencias> Alertas de URL's

Sun Confidential: Internal Only 24

Sun Confidential: Internal Only 25

Alertas y Monitor de Actividades Sospechosas• Utilizamos una base de datos (configurable por el cliente)

con nuestras palabras y sistemas reservados, de modo que podamos generar alarmas en base a ellas.> A través de aplicaciones modo carácter (SSH/Telnet),

podemos capturar las palabras reservadas escritas en la sesión para generar alarmas. Por ejemplo palabras como “pkgadd” y “patchadd” nos alertas sobre quién está instalando software en el sistema.

> Los sistemas reservados son utilizados por todas las aplicaciones y generan una alarma por cada conexión a ellos.

Sun Confidential: Internal Only 26

Sun Confidential: Internal Only 27

Sun Confidential: Internal Only 28

Monitorización SGD

Sun Confidential: Internal Only 29

Reproduciendo Sesión SSH Capturada

Sun Confidential: Internal Only 30

Alertas Palabras Reservadas

Sun Confidential: Internal Only 31

Reserved Sites Alerts

Sun Confidential: Internal Only 32

Alertas Transferencias HTTP

Sun Confidential: Internal Only 33

Composición Hardware• 1 ó 2 Sistemas Sun Fire X4500

(x64 Server)> CPU 2 x AMD Opteron Model Dual

Core 290 (2.8Ghz/1Mb)> 16Gb RAM> 48 x 250Gb Discos Internos (SATA) =

12Tb> 4 x 10/100/1000 BaseT Ethernet Ports

34

SPAC(Control Administrativo en el CPD)

Manuel Gilmanuel.gil@sun.com

34