Post on 22-Aug-2020
#CyberCamp17
Mi nube perfecta
Adrián Ramírez (Dolbuck)
SecAdmin
Security Conference
Mi nube perfecta
Quiénes somos:
2
@secadm1n
https://secadmin.es
3
Ganador CTF 2017
4
Whoami
@adriandolbuck
Perito informático forense
Director de ciberseguridad de Dolbuck
Apasionado de la tecnología
Especializado en ingeniería social
Co-organizador de SecAdmin
Co-organizador de CharruaCon
Consultor en ciberseguridad
5
¿De qué vamos hablar?
1) Los servicios de almacenamiento cloud y opciones del mercado
2) Elección del tipo de material para construir nuestra nube
3) Demo 1: Implantación y explicación del entorno apropiado para nuestra nube.
4) Demo 2: En vivo. - Un paseo por nuestra nube
- Configuraciones de seguridad de la nube
- Creación de usuarios
- Alimentando nuestra nube con nuevas funcionalidades
- Compartiendo documentos con el mundo de forma segura.
5) Jugando con nuestra nube
6) Engordando nuestra nube con almacenamiento extra
7) Demo 3: Monitorización del rendimiento de nuestra nube y obteniendo reportes del uso
8) Hardening de nuestra nube.
9) Demo 4: Medidas de hardening que aplicaremos a nuestra nube.
10) Conclusiones y cierre del taller.
6
Buscando la nube más cómoda:
Concepto de nube:
Discos duros virtuales de gran capacidad
Accedemos cuando estamos conectados a internet,
Desde móviles, portátiles, tablets y PC´s.
Finalidad:
Guardar nuestras fotos, vídeos, música y todo tipo de archivos, para acceder
a ellos desde cualquier lugar
Liberar las memorias de nuestros dispositivos.
Centralizamos la información
7
Soluciones en el mercado.
8
Cosas que dan miedo…
9
Privacidad
10
Lo que buscamos
Privacidad
Que ningún antivirus borre mis contenidos “sospechosos”
Ahorro de dinero a largo plazo
Un total control de mis datos
En caso de incidente acceso total a los logs del registro.
La capacidad de tu nube únicamente limitada por la capacidad de tus discos.
Pueda usarlo como copia de seguridad
Recuperar versiones de un documento
Accesibilidad a mis datos desde cualquier dispositivo en cualquier sitio del
mundo.
11
¿Quienes lo usan?
12
Datos curiosos
13
Si buscamos en España
14
.
15
Diferencia entre owncloud vs nextcloud
ownCloud es una aplicación de software libre del tipo Servicio de alojamiento
de archivos, que permite el almacenamiento en línea y aplicaciones en línea
(cloud computing)
El proyecto fue lanzado en enero del 2010 por Frank Karlitschek, un
desarrollador del proyecto KDE, con el objetivo de dar a los usuarios el control
de sus datos en la nube
El 13 de diciembre de 2011 fue creada una entidad comercial fundada bajo el
proyecto ownCloud
Fuente: Wikipedia
16
Diferencias
Nextcloud es una serie de programas cliente-servidor con el objetivo de crear
servicio de alojamiento de archivos. Su funcionalidad es similar al
software Dropbox y demás. 100% libre.
OwnCloud, ofrecen un servicio de pago con el que consigues soporte y
funcionalidades extra dirigidas principalmente a empresas. Estas
funcionalidades extra son de código cerrado y no están presentes en la
versión gratuita.
17
Eligiendo el material de nuestra nube:
18
Nextcloud box
19
Raid de Raspberry
20
21
NAS
22
Ingredientes
Hardware
NAS
Raspberry
Ordenador
Servidor
Unidades de
almacenamiento
Software
Distro de GNU/Linux
NextCloud
Internet
Mucho cariño
23
Nuestra elección:
Esquema:
24
Antes de empezar:
Selecciono arranque del disco duro
Protejo con password la BIOS
Deshabilitar ctrl+alt+sup
"/etc/inittab" y comentar la siguiente linea:
# What to do when CTRL-ALT-DEL is pressed.
#ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now
Creo disco LVM cifrado antes de instalar nada.
DEMO
25
Dentro del S.O.
apt-get update / apt-get upgrade
Apt-get install ssh
Creando una tarea para actualizar el sistema regularmente:
crontab –e
Con esto todos los lunes a las 3 am se ejecutará
La actualización
0 3 * * 1 apt -y update && apt -y upgrade && reboot
26
Instalación de NextCloud
La instalación consta de:
Instalar PHP
Instalar Apache / Nginx
Instalar mariadb
Descargar la última versión nextcloud
Habilitar el https en servidor web
Crear certificado
Mini demo:
27
Un paseo por nuestra nube
28
Creando un certificado SSL guapo
30
Calidad del certificado gratuito
https://www.ssllabs.com/ssltest/index.html
https://www.ssllabs.com/ssltest/index.html
31
Vamos a jugar con nuestra nube
Accedemos por web a:
https://incibe.solucionesencloud.es/
Usuario: incibe
Password: 02122017.camp
32
Instalando clientes para nuestra nube
Ejercicio:
Toma una foto con tu teléfono y súbela a la nube
Configúralo en tu dispositivo móviles
Compártela con el grupo Incibe
33
Cliente de escritorio
Instalando un cliente de escritorio
34
Engordando nuestra nube
35
Engordando nuestra nube
36
Del lado del usuario
Ahora los usuarios podrán añadir almacenamiento externo desde
GoogleDrive, FTP, smb, etc
37
Proceso de hardening antes de dejarla volar
Para habilitar el doble factor de autenticación:
1. Habilitar la app que encuentras en Seguridad (Two Factor TOTP Provider).
2. Cada usuario que quiera habilitar el doble factor debe ir a su perfil en Personal
y habilitarlo al final de la página. Antes debe instalar una app HOTP para guardar el código QR que
genera los códigos (HDE OTP para iphone y FreeOTP?? para Android) También deben guardar el
código secreto
por si pierden el código QR y se podría restaurar con él.
3. Salir y volver a entrar para probarla. (la app genera códigos cada 30 segundos)
38
39
Consejos
Pon siempre un Firewall delante de tu nube, sino tienes firewall utiliza reglas
iptables con la opción denegar todo por defecto y solo abre puertos que
necesites.
Filtra los puertos de gestión a IP Fijas
Cambia el puerto SSH del servidor a otro número
Activa HTTPS siempre
Solo necesitas puerto 443 abierto para los clientes
Recuerda que puedes activar logs de tu usuario
Puedes activar seguridad en 2 pasos
Siempre, siempre, crea una copia de seguridad de tu nube.
Ahora ya puedes dejar volar tu nube libre…
40
Barniz de VPN
OpenVpn
41
Conclusiones
42
Bibliografía y agradecimientos
https://nextcloud.com/
https://help.nextcloud.com/
Agradecimiento a Incibe, a SecAdmin y al personal de Dolbuck quienes realizaron los videos.
43
Preguntas
C
Contacto: @adriandolbuck
Gracias por su atención