ANEXO TRABAJO PRÁCTICO Nº 4 SEGURIDAD EN SISTEMAS Primer cuatrimestre de 2016 Departamento de Ciencias e Ingeniería de la Computación - Universidad Nacional del Sur Hardening Plazo de entrega: hasta las 24hrs. del día 5/06/2016 Se deberá instalar una distribución con sistema operativo GNU/Linux y sobre la misma poner en producción una aplicación que preste un servicio. Sobre el sistema operativo y la aplicación se deberán llevar a cabo el conjunto de actividades necesarias para reforzar la seguridad de ambos por separado. El propósito general de la configuración a efectuar es dificultar a los atacantes su trabajo para tratar de minimizar consecuencias asociadas a vulnerabilidades presentes y no determinadas previamente, o bien para evitar que se concreten los ataques. Los alumnos deberán buscar información adecuada y relevante para poder instrumentar el procedimiento de hardening propuesto. Las actividades deben responder a un proceso claramente documentado y detallado, el cual formará parte del informe a entregar. Se deben detallar en forma clara y precisa todos los procedimientos de configuración y puesta en marcha del sistema y sus servicios. El informe debe tener una estructura que presente como mínimo los siguientes datos: 1) Sistema operativo: a) Pasos de instalación b) Configuración general c) Activación/desactivación de servicios d) Configuración de servicios para protección 2) Aplicación: a) Pasos de instalación b) Configuración general c) Configuración de servicios para protección. Aspectos a considerar (no excluyentes): • • • • • • • • • • Los procesos de arranque del sistema. Los servicios o demonios que se ejecutan al inicio y apagado del sistema. Análisis de cuentas de usuario en el sistema. Políticas de seguridad sobre sistemas de archivos. Políticas del sistema general y utilización de SELinux. Relevamiento de cuentas de administración, deshabilitar o invalidar cuentas no necesarias. Implementación de medidas de seguridad sobre servicios de red, firewall y detección de intrusos Habilitación de control de sucesos del sistema (archivos de logs). Implementación de procesos de auditoría períodicos (con herramientas específicas). Políticas sobre consolas de administración, terminales virtuales y accesos remotos. 1 ANEXO TRABAJO PRÁCTICO Nº 4 SEGURIDAD EN SISTEMAS Primer cuatrimestre de 2016 Departamento de Ciencias e Ingeniería de la Computación - Universidad Nacional del Sur Fuentes de consulta (no excluyentes) sólo a modo de ejemplo: • • • • • http://linux-audit.com/hardening-guides-tools-red-hat-linux-rhel/ https://www.nsa.gov/what-we-do/information-assurance/ https://www.iad.gov/iad/library/ia-guidance/security-configuration/operating-systems/guide-tothe-secure-configuration-of-red-hat-enterprise.cfm https://benchmarks.cisecurity.org/downloads/show-single/?file=rhel6.120 https://access.redhat.com/documentation/enUS/Red_Hat_Enterprise_Linux/7/pdf/Security_Guide/Red_Hat_Enterprise_Linux-7-Security_Guideen-US.pdf Las comisiones y sus correspondientes asignaciones se detallan en la siguiente tabla: Comisión LANG, LUCILA DENNEHY, BRIAN REGINALD LATINI, MACARENA ANAHI FREDES HADAD, ALEXIS MARTIN AGUILERA, ALEXIS SAMUEL PEREZ RAGO, ALEJANDRO JINKIS, FEDERICO EZEQUIEL JUNCA, CHRISTIAN ANDRES FERNANDEZ, EZEQUIEL SCHUSTIK, SANTIAGO ARIEL OTAROLA, LUCA ANDRES TONIOLO, FRANCO ALESIS PADE, ALEX IVAN PLAZA, ESTEBAN ZIEDE, MARTIN SABANDO, MARIA VIRGINIA MARTINEZ, ANDRES LEONARDO SOULIER, KEVIN ELOY Distribución SO Aplicación CentOS 7 (minimal) MySQL CentOS 7 (minimal) PostgreSQL CentOS 7 (minimal) Apache Ubuntu Server 16.04 LTS MySQL Ubuntu Server 16.04 LTS PostgreSQL Ubuntu Server 16.04 LTS Apache Debian 8.2 MySQL Debian 8.2 PostgreSQL Debian 8.2 Samba y Apache Para la defensa del presente trabajo práctico cada comisión deberá presentarse con: 1) Informe final en formato impreso. 2) Una máquina virtual con todos los componentes instalados, la misma debe estar en formato admisible por VMware Player o bien cada comisión podrá acercarse con su propio entorno de virtualización en un equipo propio. El informe además deberá ser enviado a la siguiente dirección de correo electrónico: seg2016@cs.uns.edu.ar La presentación y defensa correspondiente de los trabajos realizados será el día lunes 6 de junio en el horario de la clase práctica. Se aceptarán archivos en formato PDF, RTF, DOCX (no se aceptarán archivos en formato .DOC). Nombre del archivo: tp4_anexo. <alumno_nombre>.<alumno_apellido>.pdf El informe debe ser entregado en formato de página A4, tipo de letra Calibri/Times New Roman tamaño 11. 2