Detalle del libro
Ver Índice
Prefacio
Sobre qué trata este libro
La conexión "Paranoid Penguin"
A quién se dirige este libro
Lo que no contempla este libro
Qué asumimos de los lectores
Cómo está organizado este libro
Convenciones utilizadas en este libro
Utilización de los códigos de ejemplo
Capítulo 1. Modelados de amenazas y gestión de riesgos
Componentes de los riesgos
Activos
Objetivos de seguridad
Confidencialidad de datos
Integridad de datos
Integridad de sistema
Disponibilidad del sistema/red
Amenazas
Motivos
Motivos financieros
Motivos políticos
Motivos personales/sicológicos
Vulnerabilidades y los ataques que reciben
Análisis simple de riesgos: ALEs
Una alternativa: Árboles de Ataque
Defensas
Devaluación de activos
Mitigar la vulnerabilidad
Mitigar ataques
Conclusión
Recursos
Capítulo 2. Diseño de perímetros de red
Terminología
Tipos de cortafuegos y arquitecturas en zonas desmilitarizadas
Arquitectura interna contra externa
Arquitectura de zona desmilitarizada con tres interfaces de reden el cortafuegos
Arquitectura débil de subred protegida
Una arquitectura fuerte de subred protegida
Decidir qué reside en la zona desmilitarizada
Asignar recursos en la zona desmilitarizada
Los cortafuegos
Tipos de cortafuegos
Filtros de paquetes simple
Filtrado de paquetes con estado
Stateful Inspection
Proxy para capa de aplicación
Seleccionar un cortafuegos
Líneas generales para configurar cortafuegos
Endurecer el cortafuegos del sistema operativo
Configurar reglas contra IP-spoofing (falseado de IP)
Denegar por defecto
Limitar estrictamente el tráfico entrante
Limitar estrictamente todo el tráfico saliente de la zona desmilitarizada
No facilite acceso a los sistemas internos desde el exterior
Si tiene los medios, utilice un cortafuegos sobre la puertade enlace de aplicación
No sea confiado en la seguridad
Capítulo 3. Fortalecer Linux y utilizar iptables
Principios para fortalecer el SO
Instalar/ejecutar sólo el software necesario
Paquetes comúnmente innecesarios
Deshabilitar servicios en Red Hat y sus distribucionesrelacionadas
Deshabilitar servicios en SUSE
Deshabilitar servicios en Debian 3.0
Deshabilitar servicios en otras distribuciones de Linux
Manteniendo el software al día
Actualización global de una distribución contra actualizacionesde paquetes
¿Qué ocurre con las actualizaciones basadas en X?
Cómo ser notificado y obtener las actualizaciones: Red Hat
Actualizaciones RPM para los extremadamente cautos
Yum: una alternativa a up2date de libre distribución
Notificación y obtención de actualizaciones: SUSE
Actualización con la opción online-update de SUSE
Notificación y obtención de actualizaciones: Debian
Eliminar cuentas de usuario innecesarias y restringir accesos
Limitando el acceso a usuarios conocidos
Ejecución de servicios en los archivos de sistema chroot
Minimizar el uso de SUID root
Identificar y negociar con archivos de SUID root
Utilizar su y sudo
Utilizar su
Utilizar sudo
Configurando, gestionando y monitorizando los registros
Cada sistema puede ser su propio cortafuegos: Uso de iptablespara seguridad local
Utilizar iptables: pasos previos
Funcionamiento de netfilter
Utilizar iptables
Verificando el trabajo con escáneres
Tipos de escáneres y sus usos
Por qué escanear
Herramienta nmap, campeona del mundo en escaneadode puertos
Obtener e instalar nmap
Utilizar nmap
Algunos escaneados de puertos
Nessus, un escáner completo de seguridad
Los escáneres de seguridad
La arquitectura de Nessus
Conseguir e instalar Nessus
Clientes Nessus
Realizar escaneados de seguridad con Nessus
Comprender y utilizar las características de seguridad disponibles
Documentar las configuraciones de los host bastiones
Fortalecer automatizadamente con Bastille Linux
Contexto
Cómo nació Bastille
Obtener e instalar Bastille
Ejecutar Bastille
Algunas notas sobre InteractiveBastille
Registros de Bastille
Ya hemos finalizado con la seguridad, ¿o no?
Capítulo 4. Administración remota segura
Herramientas de administración de texto legible: ¿por qué retirarlas?
Secure Shell en segundo plano y uso básico
Funcionamiento de SSH
Obtener e instalar OpenSSH
Introducción rápida al SSH
Utilizar sftp y scp para transferencias cifradas de archivos
Profundizando en la configuración de SSH
Configurar y ejecutar sshd, el demonio de Secure Shell
SSH intermedio y avanzado
Criptografía de clave pública
Teoría avanzada sobre SSH: cómo utiliza SSH la PK Crypto
Configuración y utilización de autenticación mediante RSA y DSA
Minimizar la escritura de la palabra de paso con el agentessh-agent
Claves sin palabra de paso: máximo cifrado
Utilizar SSH para ejecutar comandos remotos
Redirección de puerto TCP: Red Privada Virtual
Capítulo 5. OpenSSL y Stunnel
Stunnel y OpenSSL: conceptos
OpenSSL
Qué hace una autoridad certificadora y por qué necesita una
Cómo ser un CA de poca importancia
Crear certificados firmados por la CA
Crear certificados autofirmados
Certificados de cliente
Utilizar Stunnel
Un ejemplo rápido de Stunnel
Parámetro
Con independencia de la contrastada eficacia de Linux como uno de los sistemas operativos más fiables para servidores de Internet, ya sea para Web, FTP anónimo, o servicios de propósito general como la gestión de DNS y correo electrónico, en la práctica cualquier servidor puede ser objetivo de docenas de ataques a su seguridad a lo largo del día, y con cierta frecuencia de serios intentos de robo.
Esta obra combina consejos prácticos sobre una gran base de conocimientos técnicos de las herramientas necesarias para blindar servidores Linux, mostrándole cómo mediante una configuración cuidadosa puede reducir las oportunidades en las que su sistema esté comprometido y reducir los daños provocados por los ataques, abordando de manera integral tanto la protección del sistema Linux en general como el perímetro de seguridad de red (accesible a Internet) y la seguridad de servidor.
Con un conjunto completo de recursos para todos aquellos usuarios que quieren en definitiva endurecer eficazmente sus sistemas, contempla temas como la administración remota de seguridad, la detección de intrusos y cortafuegos, los Servicios de nombre de dominio (DNS) seguros o la seguridad de base de datos. El lector encontrará además de enorme utilidad la información acerca del gran abanico existente de paquetes de software y sus versiones, y procedimientos y técnicas específicas sobre seguridad en muchos de ellos.
