Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 34 vistas

    Criterios para Endurecer FTP

    Cargado por

    jacostapl_579802982
    Este documento proporciona criterios de seguridad para configurar de forma segura los servicios FTP y SFTP en un servidor Linux utilizando las aplicaciones OpenSSH y VSFTPD. Incluye recomendaciones como cambiar los puertos predeterminados, limitar intentos de autenticación, establecer claves públicas/privadas y restringir el acceso de usuarios a solo sus directorios asignados.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd

    Criterios para Endurecer FTP

    Cargado por

    jacostapl_579802982
    34 vistas8 páginas
    Este documento proporciona criterios de seguridad para configurar de forma segura los servicios FTP y SFTP en un servidor Linux utilizando las aplicaciones OpenSSH y VSFTPD. Incluye recomendaciones como cambiar los puertos predeterminados, limitar intentos de autenticación, establecer claves públicas/privadas y restringir el acceso de usuarios a solo sus directorios asignados.

    Título original

    Criterios para endurecer FTP

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Este documento proporciona criterios de seguridad para configurar de forma segura los servicios FTP y SFTP en un servidor Linux utilizando las aplicaciones OpenSSH y VSFTPD. Incluye recomendaciones como cambiar los puertos predeterminados, limitar intentos de autenticación, establecer claves públicas/privadas y restringir el acceso de usuarios a solo sus directorios asignados.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    34 vistas8 páginas

    Criterios para Endurecer FTP

    Cargado por

    jacostapl_579802982
    Este documento proporciona criterios de seguridad para configurar de forma segura los servicios FTP y SFTP en un servidor Linux utilizando las aplicaciones OpenSSH y VSFTPD. Incluye recomendaciones como cambiar los puertos predeterminados, limitar intentos de autenticación, establecer claves públicas/privadas y restringir el acceso de usuarios a solo sus directorios asignados.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    Está en la página 1de 8

    CRITERIOS PARA

    HARDENING FTP CON


    VSFTPD Y OPENSSH

    Contenido
    CCN-STIC-1401 Configuración segura para trasferencia de ficheros con pasarelas de intercambio
    seguro ...................................................................................................................................................3
    Securización del sistema a nivel de Servidor. .......................................................................................4
    OpenSSH ...............................................................................................................................................5

    Criterios generales de securización OpenSSH para el servicio SecureFTP (SFTP) con la red IT ............5
    Configuraciones de seguridad adicionales............................................................................................6

    Vsftpd ....................................................................................................................................................6
    Criterios generales para la securización del servicio FTP con VSFTPD..................................................6
    Configuraciones de seguridad adicionales............................................................................................7
    Consultas...............................................................................................................................................8

    PROPIEDADES DEL DOCUMENTO

    Título documento: Criterios para hardening Versión: 1.0


    FTP con VSFTPD y OpenSSH

    Código documento n/a N.º de páginas: 10

    Nombre del fichero: ADIF-PSG Casos de uso_v3.0.docx

    Resumen: Criterios de seguridad para la configuración de un servidor FTP Linux


    Clasificación documento: USO INTERNO

    PARTICIPANTES (RELATIVOS A LA ÚLTIMA VERSIÓN DEL DOCUMENTO)

    Elaborado por: Jefatura de Área de Operaciones de Seguridad en la Información

    Revisado por: Jefatura de Área de Operaciones de Seguridad en la Información

    Aprobado por: Jefatura de Área de Operaciones de Seguridad en la Información

    Otros:

    CONTROL DE CAMBIOS

    VERSIÓN FECHA DETALLES

    1.0 12/11/2020 Versión inicial

    1.1 15/11/2020 Se agregan configuraciones adicionales

    CCN-STIC-1401 Configuración segura para


    trasferencia de ficheros con pasarelas de
    intercambio seguro

    Para la utilización de un sistema que permita el intercambio controlado de ficheros bajo las
    regulaciones de la industria y las infraestructuras críticas se requiere de pasarelas seguras
    de intercambio.

    Estas pasarelas establecen una correspondencia automátizada entre carpetas, en


    servidores de ficheros de diferentes dominios (Redes, Subredes, VLANs, etc) y mueven o
    copian los ficheros del origen al destino. Soportan protocolos FTP, FTPS, SFTP y SMB.
    La transferencia de ficheros desde la red de confianza o alta seguridad a la de baja
    seguridad o no fiable requiere autorización mediante firma digital

    Fig. Arquitectura de protección de perímetro y pasarela de intercambio seguro SXN (Secure


    Exchange Network)

    Para la creación de un servicio FTP dentro de un dominio (Red, Subred, VLAN) y


    garantizar la trasferencia segura de los datos centralizados de dicho servicio utilizaremos
    las apps OpenSSH y VSFTPD desde un servidor Linux. De esta manera se podrán
    establecer servicios de SFTP o FTPS o ambos y garantizar la confidencialidad e integridad
    de la información.

    Securización del sistema a nivel de Servidor.

    • Se realizará una instalación del sistema operativo en su opción de instalación


    mínima, sin seleccionar ningún grupo de aplicaciones ni funciones durante la
    instalación.

    • Una vez terminada la instalación el servicio ssh quedará automáticamente


    habilitado

    • (Opcional) Habilitar Firewall del sistema (ufw)


    o Al habilitar el firewall el servicio queda por defecto denegado para el
    tráfico de entrada y solo se permite tráfico de salida. Será necesario
    habilitar listas blancas para permitir la entrada de ips pertenecientes a
    los activos que conectarán con el servicio
    o Implementar listas blancas y negras de IP
    ✓ Lista blanca: Incluir en la lista blanca solo las
    direcciones IP especificadas para acceder al sistema.
    Las direcciones cliente deberán ser IPs fijas.
    • Minimizar los protocolos utilizados

    • Minimizar los puertos en los que escucha el servidor

    • Auditabilidad del Sistema


    o Hay que habilitar los servicios de envío de logs a un sistema
    centralizado de gestión de eventos (SIEM).

    • Actualizaciones y Parches
    o Instalación de los parches previamente verificados
    o Mantener los sistemas actualizados a las versiones más recientes
    o Aplicar los últimos parches homologados

    OpenSSH

    OpenSSH es un conjunto de aplicaciones que permiten realizar comunicaciones cifradas a


    través de una red, usando el protocolo SSH. Fue creado como una alternativa libre y
    abierta al programa Secure Shell, que es software propietario.

    Criterios generales de securización OpenSSH para el


    servicio SecureFTP (SFTP) con la red IT

    Una vez instalado y habilitado OpenSSH


    1. Cambiar el puerto (22) por defecto
    2. Deshabilitar el usuario ROOT para login.
    3. (Recomendado) Establecer conexiones a través de claves privada/publica en las
    conexiones con dispositivos de diferente red o subred
    4. Deshabilitar el inicio de sesión remoto desde cuentas con contraseñas vacías
    5. (Recomendada) Limitar intentos de autenticación fallida
    6. Habilitar un banner de advertencia para los accesos al sistema.
    Ej.
    ##########################################################
    Bienvenido al Servicio de “Nombre del Servicio”, toda la actividad está siendo
    monitorizada por la seguridad de la compañía.

    Configuraciones de seguridad adicionales

    • MaxSessions: Establecer número máximo de sesiones establecidas


    simultáneamente

    • StrictModes: proteger los archivos de claves públicos y privados

    Vsftpd

    Vsftpd: es un servidor FTP para sistemas similares a Unix, incluido Linux. Es el servidor
    FTP predeterminado en las distribuciones Linux Ubuntu, CentOS, Fedora, NimbleX,
    Slackware y RHEL. Tiene la licencia GNU General Public License y es compatible con
    IPv6, TLS y FTPS

    Criterios generales para la securización del servicio


    FTP con VSFTPD

    Una vez instalado VSFTPD


    • Verificar que el acceso a través de la cuenta de usuario anónimo está desactivado
    y desactivar todos los parámetros vinculados a dicho usuario.

    • (Alternativa) Habilitar configuración de cuentas locales al servicio con usuario


    KIOSK para las conexiones con los activos + (recomendable) clave privada/publica
    limitando el servicio a la(s) cuenta(s) previamente configuradas

    • Limitar la navegación a los directorios asignados


    o Cuando un usuario accede al servidor remoto, podría navegar por todo el
    sistema de directorios. Esto no es recomendable, ya que cualquier usuario
    podrá acceder a áreas del sistema y otras ubicaciones. Como buena
    práctica es necesario que el usuario KIOSK o los usuarios locales estén
    restringidos sólo a sus directorios personales durante las sesiones FTP
    establecidas.

    • Habilitar un banner de advertencia para los accesos al sistema.


    Ej.
    ##########################################################
    Bienvenido al Servicio de “Nombre del Servicio”, toda la actividad está siendo
    monitorizada por la seguridad de la compañía.

    Configuraciones de seguridad adicionales

    • local_max_rate: Limitar la tasa de transferencia a los usuarios autenticados para


    contener en lo posible ataques DoS y DDoS

    • max_clients: Establecer un número máximo de conexiones que podrán acceder


    simultáneamente al servidor (limitar solo a la cantidad de equipos involucrados)

    • max_per_ip: Establece un número máximo de conexiones desde una misma


    dirección IP que podrán acceder simultáneamente al servidor.
    Consultas

    https://www.ccn-cert.cni.es/pdf/guias/series-ccn-stic/guias-de-acceso-publico-ccn-stic/2916-ccn-
    stic-1401-configuracion-segura-de-pasarelas-de-autek-ingenieria/file.html

    https://www.ccn-cert.cni.es/pdf/guias/series-ccn-stic/guias-de-acceso-publico-ccn-stic/3034-ccn-
    stic-834-proteccion-ante-codigo-danino-en-el-ens/file.html

    https://www.seclab-security.com/seclab-sec-xn/

    https://wiki.centos.org/HowTos/OS_Protection

    https://www.ncsc.gov.uk/collection/device-security-guidance/platform-guides/ubuntu-lts

    https://access.redhat.com/documentation/es-
    es/red_hat_enterprise_linux/8/html/securing_networks/making-openssh-more-secure_using-
    secure-communications-between-two-systems-with-openssh

    https://linux-audit.com/ubuntu-server-hardening-guide-quick-and-secure/

    https://access.redhat.com/documentation/en-
    us/red_hat_enterprise_linux/6/html/security_guide/sect-security_guide-server_security-
    securing_ftp

    https://security.appspot.com/vsftpd.html#security

    https://www.openssh.com/

    https://ubuntu.com/core

    https://www.centos.org/variants/

    También podría gustarte