spac 1.1 presentacion 20090512
DESCRIPTION
Specific tool to audit and track all the administrators user's activity. We can control who is on what system and what is he/she doing.It can record all the activity in X11/Windows applications and Telnet/SSH sessions, it can control file transfers too.TRANSCRIPT
![Page 1: Spac 1.1 Presentacion 20090512](https://reader033.vdocuments.pub/reader033/viewer/2022052904/557abeced8b42acf1b8b4ee2/html5/thumbnails/1.jpg)
1
Single Point of Audit & Control (SPAC)(Control Administrativo en el CPD)
Manuel GilConsultor SeguridadSUN Microsystems Ibérica
1
![Page 2: Spac 1.1 Presentacion 20090512](https://reader033.vdocuments.pub/reader033/viewer/2022052904/557abeced8b42acf1b8b4ee2/html5/thumbnails/2.jpg)
Sun Confidential: Internal Only 2
Contenido
• Problema en la Gestión de Grandes CPD• Características Comunes• Marco de Seguridad del CPD• Objetivos SPAC• Piezas SPAC• Mapa de Procesos• Configuración SPAC• Sistema Alertas• Portal Explotación Logs
![Page 3: Spac 1.1 Presentacion 20090512](https://reader033.vdocuments.pub/reader033/viewer/2022052904/557abeced8b42acf1b8b4ee2/html5/thumbnails/3.jpg)
Sun Confidential: Internal Only 3
Problema de seguridad en el CPD
• Mecanismos de control de acceso.• Confidencialidad en Comunicaciones• Controlar la identidad de los
Administradores• Asignación de privilegios a usuarios• Repositorios centralizados de
información de los usuarios.• Configuración segura de los
servidores.• Verificación de integridad en los
servidores.• Detección de intrusos• Auditoria detallada de la operación de
los usuarios.• ....
![Page 4: Spac 1.1 Presentacion 20090512](https://reader033.vdocuments.pub/reader033/viewer/2022052904/557abeced8b42acf1b8b4ee2/html5/thumbnails/4.jpg)
Sun Confidential: Internal Only 4
Nuestro Sistema Frente a Riesgos
![Page 5: Spac 1.1 Presentacion 20090512](https://reader033.vdocuments.pub/reader033/viewer/2022052904/557abeced8b42acf1b8b4ee2/html5/thumbnails/5.jpg)
Sun Confidential: Internal Only 5
Necesidades de Seguridad en el CPD
• Mecanismos de Control de Usuarios Administrativos.• Mecanismos de Control de Sistema / Red.• Mecanismos de Control de Auditoría.
Solución
• SPAC (Single Point of Audit & Control)
Características Comunes
![Page 6: Spac 1.1 Presentacion 20090512](https://reader033.vdocuments.pub/reader033/viewer/2022052904/557abeced8b42acf1b8b4ee2/html5/thumbnails/6.jpg)
Sun Confidential: Internal Only 6
![Page 7: Spac 1.1 Presentacion 20090512](https://reader033.vdocuments.pub/reader033/viewer/2022052904/557abeced8b42acf1b8b4ee2/html5/thumbnails/7.jpg)
Sun Confidential: Internal Only 7
SPAC (Single Point of Audit & Control)
• Portal de acceso a las aplicaciones administrativas• Unificacion de identidades de administradores• Unificación de herramientas de gestión/administración• Auditoría de actividades usuarios administrativos.• Centralización logs y sesiones de usuarios• Repositorio central de información• Alertas ante eventos.• Monitor actividades sospechosas• Reproducción sesiones usuarios (video/caracteres)• ...
Características
![Page 8: Spac 1.1 Presentacion 20090512](https://reader033.vdocuments.pub/reader033/viewer/2022052904/557abeced8b42acf1b8b4ee2/html5/thumbnails/8.jpg)
Sun Confidential: Internal Only 8
Objetivos de SPAC
• Autenticación: Ofrecemos conocimiento de la identidad real del usuario administrativo en todo momento.• Integridad: Seguridad en la conexión, todos los
protocolos usados entre los usuarios administradores y las pasarelas, serán seguros y basados en estándares.
![Page 9: Spac 1.1 Presentacion 20090512](https://reader033.vdocuments.pub/reader033/viewer/2022052904/557abeced8b42acf1b8b4ee2/html5/thumbnails/9.jpg)
Sun Confidential: Internal Only 9
Objetivos de SPAC
• Confidencialidad: Mediante los canales seguros de comunicación, será imposible la copia, traspaso o alteración de la información enviada/recibida.• Auditoría: Será posible detectar las actividades de
los usuarios y acciones realizadas en sistemas remotos, reproducirlas y utilizarlas en análisis posteriores tanto en tiempo real como mediante la búsqueda de actividades en logs históricos.
![Page 10: Spac 1.1 Presentacion 20090512](https://reader033.vdocuments.pub/reader033/viewer/2022052904/557abeced8b42acf1b8b4ee2/html5/thumbnails/10.jpg)
Sun Confidential: Internal Only 10
Piezas de SPAC• Repositorio de Usuarios: Se crea un repositorio
de usuarios administrativos centralizado, basado en LDAP.• Portal: Se implementa un portal de acceso a las
aplicaciones administrativas internas del CPD mediante protocolos seguros y estándares HTTP/HTTPS.• Sistemas Auditores: Se fijan controles de auditoría
y acceso, integrado perfectamente en el portal, con captura de videos de sesiones X11/Windows y captura de sesiones SSH/Telnet completas; restricción de accesos; trabajo en equipo.
![Page 11: Spac 1.1 Presentacion 20090512](https://reader033.vdocuments.pub/reader033/viewer/2022052904/557abeced8b42acf1b8b4ee2/html5/thumbnails/11.jpg)
Sun Confidential: Internal Only 11
Piezas de SPAC
• Centralización Logs/BBDD: Toda la información relativa a conexiones se almacena en un repositorio de información centralizado y todos los accesos son registrados en Base de Datos.• Portal Explotación: Plataforma de administración
de la actividad en las pasarelas; análisis de logs, búsqueda en histórico, monitor de actividad, gestor de alarmas y eventos; reproducción de sesiones X11/Windows, SSH/Telnet; y generación de informes diarios, semanales, mensuales y bajo demanda de eventos y actividad
![Page 12: Spac 1.1 Presentacion 20090512](https://reader033.vdocuments.pub/reader033/viewer/2022052904/557abeced8b42acf1b8b4ee2/html5/thumbnails/12.jpg)
Sun Confidential: Internal Only 12
![Page 13: Spac 1.1 Presentacion 20090512](https://reader033.vdocuments.pub/reader033/viewer/2022052904/557abeced8b42acf1b8b4ee2/html5/thumbnails/13.jpg)
Sun Confidential: Internal Only 13
Pantalla Principal Portal
Expiración de Password
Grupo Principal - Rol
Aplicaciones
![Page 14: Spac 1.1 Presentacion 20090512](https://reader033.vdocuments.pub/reader033/viewer/2022052904/557abeced8b42acf1b8b4ee2/html5/thumbnails/14.jpg)
Sun Confidential: Internal Only 14
Procesos de la Plataforma
• Planificación del Servicio. Creación de límites y derechos.• Alta Usuarios/Grupos/Roles. División de usuarios
adminsitrativos mediante grupos/roles.• Configuración Aplicaciones. Definición de los
elementos físicos del servicio.• Configuración Auditoría. Perfiles avanzados de
las aplicaciones
![Page 15: Spac 1.1 Presentacion 20090512](https://reader033.vdocuments.pub/reader033/viewer/2022052904/557abeced8b42acf1b8b4ee2/html5/thumbnails/15.jpg)
Sun Confidential: Internal Only 15
![Page 16: Spac 1.1 Presentacion 20090512](https://reader033.vdocuments.pub/reader033/viewer/2022052904/557abeced8b42acf1b8b4ee2/html5/thumbnails/16.jpg)
Sun Confidential: Internal Only 16
Planificación del Acceso
![Page 17: Spac 1.1 Presentacion 20090512](https://reader033.vdocuments.pub/reader033/viewer/2022052904/557abeced8b42acf1b8b4ee2/html5/thumbnails/17.jpg)
Sun Confidential: Internal Only 17
Usuarios / Grupos / Roles
• Una vez planificado el servicio, definiremos en elLDAP, el grupo principal, roles que asumirá cada usuario y finalmente los usuarios del servicio a administrar.
Acciones LDAPGrupo Principal Rol / Grupo Particular Usuarios
Plataforma AAA (usuarios:juan, antonio y pedro ) =plataforma-AAA
Aplicaciones UNIX = pAunix juan
Aplicaciones X11 = pAxapps juan, antonio
Aplicaciones HTTP = pAhttp pedro
![Page 18: Spac 1.1 Presentacion 20090512](https://reader033.vdocuments.pub/reader033/viewer/2022052904/557abeced8b42acf1b8b4ee2/html5/thumbnails/18.jpg)
Sun Confidential: Internal Only 18
Configuración Aplicaciones
• A través del Portal se darán de alta todos los Nodos y Aplicaciones que componen la plataforma a administrar.
Acciones Portal
Aplicaciones SistemasSSH UNIX1SSH UNIX2admintool UNIX1firefox UNIX1xload UNIX2HTTP http://unix2:4556/admin/
![Page 19: Spac 1.1 Presentacion 20090512](https://reader033.vdocuments.pub/reader033/viewer/2022052904/557abeced8b42acf1b8b4ee2/html5/thumbnails/19.jpg)
Sun Confidential: Internal Only 19
Integración con Directorio
• Lo normal será autorizar por grupos/roles:
cn=pAunix,ou=group,dc=prod,dc=airtel,dc=es
• El grupo “pAunix” tiene como miembros:
ldap:///dc=prod,dc=airtel,dc=es??sub?(&(vfsgdgrupo=plataforma-AAA)(vfsgdrol=pAunix))
![Page 20: Spac 1.1 Presentacion 20090512](https://reader033.vdocuments.pub/reader033/viewer/2022052904/557abeced8b42acf1b8b4ee2/html5/thumbnails/20.jpg)
Sun Confidential: Internal Only 20
Configuración Auditoría
• Gestión: Podemos conocer en cualquier momento, las aplicaciones que se están ejecutando, por quien, detenerlas, grabarlas, asistir, ... • Cooperación: Se pueden establecer programas de
cooperación entre usuarios para el control de las actividades.• Control: Podemos prefijar franjas horarias de
trabajo para los usuarios de la plataforma.
Perflles Avanzados de la Aplicación
![Page 21: Spac 1.1 Presentacion 20090512](https://reader033.vdocuments.pub/reader033/viewer/2022052904/557abeced8b42acf1b8b4ee2/html5/thumbnails/21.jpg)
Sun Confidential: Internal Only 21
Configuración Auditoría
• Grabación Sesiones Gráficas: Todas las aplicaciones gráficas pueden ser grabadas en formato video.• Captura Sesiones (SSH/Telnet): Todas las
aplicaciones en modo caracter, son capturadas y pueden ser reproducidas.• Transferencia de Ficheros: Se permite la
transferencia de ficheros entre sistemas internos y los puestos de los usuarios, con auditoría.
Perflles Avanzados de la Aplicación
![Page 22: Spac 1.1 Presentacion 20090512](https://reader033.vdocuments.pub/reader033/viewer/2022052904/557abeced8b42acf1b8b4ee2/html5/thumbnails/22.jpg)
Sun Confidential: Internal Only 22
Transferencia de Ficheros
• Nunca de forma directa.
![Page 23: Spac 1.1 Presentacion 20090512](https://reader033.vdocuments.pub/reader033/viewer/2022052904/557abeced8b42acf1b8b4ee2/html5/thumbnails/23.jpg)
Sun Confidential: Internal Only 23
Aplicaciones HTTP
• Todo el tráfico HTTP es enviado a través de Proxy Reverse, con controles de auditoría y alertas implementados.> Alertas de Sitios> Alertas de
Transferencias> Alertas de URL's
![Page 24: Spac 1.1 Presentacion 20090512](https://reader033.vdocuments.pub/reader033/viewer/2022052904/557abeced8b42acf1b8b4ee2/html5/thumbnails/24.jpg)
Sun Confidential: Internal Only 24
![Page 25: Spac 1.1 Presentacion 20090512](https://reader033.vdocuments.pub/reader033/viewer/2022052904/557abeced8b42acf1b8b4ee2/html5/thumbnails/25.jpg)
Sun Confidential: Internal Only 25
Alertas y Monitor de Actividades Sospechosas• Utilizamos una base de datos (configurable por el cliente)
con nuestras palabras y sistemas reservados, de modo que podamos generar alarmas en base a ellas.> A través de aplicaciones modo carácter (SSH/Telnet),
podemos capturar las palabras reservadas escritas en la sesión para generar alarmas. Por ejemplo palabras como “pkgadd” y “patchadd” nos alertas sobre quién está instalando software en el sistema.
> Los sistemas reservados son utilizados por todas las aplicaciones y generan una alarma por cada conexión a ellos.
![Page 26: Spac 1.1 Presentacion 20090512](https://reader033.vdocuments.pub/reader033/viewer/2022052904/557abeced8b42acf1b8b4ee2/html5/thumbnails/26.jpg)
Sun Confidential: Internal Only 26
![Page 27: Spac 1.1 Presentacion 20090512](https://reader033.vdocuments.pub/reader033/viewer/2022052904/557abeced8b42acf1b8b4ee2/html5/thumbnails/27.jpg)
Sun Confidential: Internal Only 27
![Page 28: Spac 1.1 Presentacion 20090512](https://reader033.vdocuments.pub/reader033/viewer/2022052904/557abeced8b42acf1b8b4ee2/html5/thumbnails/28.jpg)
Sun Confidential: Internal Only 28
Monitorización SGD
![Page 29: Spac 1.1 Presentacion 20090512](https://reader033.vdocuments.pub/reader033/viewer/2022052904/557abeced8b42acf1b8b4ee2/html5/thumbnails/29.jpg)
Sun Confidential: Internal Only 29
Reproduciendo Sesión SSH Capturada
![Page 30: Spac 1.1 Presentacion 20090512](https://reader033.vdocuments.pub/reader033/viewer/2022052904/557abeced8b42acf1b8b4ee2/html5/thumbnails/30.jpg)
Sun Confidential: Internal Only 30
Alertas Palabras Reservadas
![Page 31: Spac 1.1 Presentacion 20090512](https://reader033.vdocuments.pub/reader033/viewer/2022052904/557abeced8b42acf1b8b4ee2/html5/thumbnails/31.jpg)
Sun Confidential: Internal Only 31
Reserved Sites Alerts
![Page 32: Spac 1.1 Presentacion 20090512](https://reader033.vdocuments.pub/reader033/viewer/2022052904/557abeced8b42acf1b8b4ee2/html5/thumbnails/32.jpg)
Sun Confidential: Internal Only 32
Alertas Transferencias HTTP
![Page 33: Spac 1.1 Presentacion 20090512](https://reader033.vdocuments.pub/reader033/viewer/2022052904/557abeced8b42acf1b8b4ee2/html5/thumbnails/33.jpg)
Sun Confidential: Internal Only 33
Composición Hardware• 1 ó 2 Sistemas Sun Fire X4500
(x64 Server)> CPU 2 x AMD Opteron Model Dual
Core 290 (2.8Ghz/1Mb)> 16Gb RAM> 48 x 250Gb Discos Internos (SATA) =
12Tb> 4 x 10/100/1000 BaseT Ethernet Ports