Anexo Práctico 4 - Departamento de Ciencias e Ingeniería de la

Anuncio
ANEXO TRABAJO PRÁCTICO Nº 4
SEGURIDAD EN SISTEMAS
Primer cuatrimestre de 2016
Departamento de Ciencias e Ingeniería de la Computación - Universidad Nacional del Sur
Hardening
Plazo de entrega: hasta las 24hrs. del día 5/06/2016
Se deberá instalar una distribución con sistema operativo GNU/Linux y sobre la misma poner en producción
una aplicación que preste un servicio.
Sobre el sistema operativo y la aplicación se deberán llevar a cabo el conjunto de actividades necesarias para
reforzar la seguridad de ambos por separado. El propósito general de la configuración a efectuar es dificultar
a los atacantes su trabajo para tratar de minimizar consecuencias asociadas a vulnerabilidades presentes y
no determinadas previamente, o bien para evitar que se concreten los ataques.
Los alumnos deberán buscar información adecuada y relevante para poder instrumentar el procedimiento
de hardening propuesto.
Las actividades deben responder a un proceso claramente documentado y detallado, el cual formará parte
del informe a entregar. Se deben detallar en forma clara y precisa todos los procedimientos de configuración
y puesta en marcha del sistema y sus servicios. El informe debe tener una estructura que presente como
mínimo los siguientes datos:
1) Sistema operativo:
a) Pasos de instalación
b) Configuración general
c) Activación/desactivación de servicios
d) Configuración de servicios para protección
2) Aplicación:
a) Pasos de instalación
b) Configuración general
c) Configuración de servicios para protección.
Aspectos a considerar (no excluyentes):
•
•
•
•
•
•
•
•
•
•
Los procesos de arranque del sistema.
Los servicios o demonios que se ejecutan al inicio y apagado del sistema.
Análisis de cuentas de usuario en el sistema.
Políticas de seguridad sobre sistemas de archivos.
Políticas del sistema general y utilización de SELinux.
Relevamiento de cuentas de administración, deshabilitar o invalidar cuentas no necesarias.
Implementación de medidas de seguridad sobre servicios de red, firewall y detección de intrusos
Habilitación de control de sucesos del sistema (archivos de logs).
Implementación de procesos de auditoría períodicos (con herramientas específicas).
Políticas sobre consolas de administración, terminales virtuales y accesos remotos.
1
ANEXO TRABAJO PRÁCTICO Nº 4
SEGURIDAD EN SISTEMAS
Primer cuatrimestre de 2016
Departamento de Ciencias e Ingeniería de la Computación - Universidad Nacional del Sur
Fuentes de consulta (no excluyentes) sólo a modo de ejemplo:
•
•
•
•
•
http://linux-audit.com/hardening-guides-tools-red-hat-linux-rhel/
https://www.nsa.gov/what-we-do/information-assurance/
https://www.iad.gov/iad/library/ia-guidance/security-configuration/operating-systems/guide-tothe-secure-configuration-of-red-hat-enterprise.cfm
https://benchmarks.cisecurity.org/downloads/show-single/?file=rhel6.120
https://access.redhat.com/documentation/enUS/Red_Hat_Enterprise_Linux/7/pdf/Security_Guide/Red_Hat_Enterprise_Linux-7-Security_Guideen-US.pdf
Las comisiones y sus correspondientes asignaciones se detallan en la siguiente tabla:
Comisión
LANG, LUCILA
DENNEHY, BRIAN REGINALD
LATINI, MACARENA ANAHI
FREDES HADAD, ALEXIS MARTIN
AGUILERA, ALEXIS SAMUEL
PEREZ RAGO, ALEJANDRO
JINKIS, FEDERICO EZEQUIEL
JUNCA, CHRISTIAN ANDRES
FERNANDEZ, EZEQUIEL
SCHUSTIK, SANTIAGO ARIEL
OTAROLA, LUCA ANDRES
TONIOLO, FRANCO ALESIS
PADE, ALEX IVAN
PLAZA, ESTEBAN
ZIEDE, MARTIN
SABANDO, MARIA VIRGINIA
MARTINEZ, ANDRES LEONARDO
SOULIER, KEVIN ELOY
Distribución SO
Aplicación
CentOS 7 (minimal)
MySQL
CentOS 7 (minimal)
PostgreSQL
CentOS 7 (minimal)
Apache
Ubuntu Server 16.04 LTS
MySQL
Ubuntu Server 16.04 LTS
PostgreSQL
Ubuntu Server 16.04 LTS
Apache
Debian 8.2
MySQL
Debian 8.2
PostgreSQL
Debian 8.2
Samba y Apache
Para la defensa del presente trabajo práctico cada comisión deberá presentarse con:
1) Informe final en formato impreso.
2) Una máquina virtual con todos los componentes instalados, la misma debe estar en formato admisible
por VMware Player o bien cada comisión podrá acercarse con su propio entorno de virtualización en
un equipo propio.
El informe además deberá ser enviado a la siguiente dirección de correo electrónico: seg2016@cs.uns.edu.ar
La presentación y defensa correspondiente de los trabajos realizados será el día lunes 6 de junio en el horario
de la clase práctica.
Se aceptarán archivos en formato PDF, RTF, DOCX (no se aceptarán archivos en formato .DOC).
Nombre del archivo: tp4_anexo. <alumno_nombre>.<alumno_apellido>.pdf
El informe debe ser entregado en formato de página A4, tipo de letra Calibri/Times New Roman tamaño 11.
2
Descargar