POLITICAS DE SEGURIDAD DE SERVIDORES LINUX

Resumen

Este documento – Políticas de seguridad en servidores Linux – define y

comunica los requerimientos de Seguridad que deben cumplirse en los
servidores Linux para asegurar una protección básica de la información
almacenada, procesada o transferida por la compañía a través de los
servidores Linux.

Aplicación

Este documento describe los requerimientos de seguridad de TI sobre los

sistemas y aplicaciones que son ejecutados sobre servidores Linux. Estos
requerimientos se aplican tanto servidores internos en ambientes de
laboratorio, QA o producción de la compañía, así como a servidores
externos que no son manejados por la compañía. Estos requerimientos
están alineados con el estándar ISO 27001.

Objetivo

El objetivo de este documento es definir los requerimientos de seguridad

que se deben cumplir en los servidores Linux para proporcionar garantía de
que nuestra compañía salvaguardará la seguridad operacional y la
estabilidad y mantendrá el control del entorno de tecnología de la
información, cumpliendo requerimientos legales, contractuales y/o
requerimientos internos sin innecesaria duplicación de esfuerzos, así como
facilitando la certificación ISO 27001 orientada al cliente
Contents
1 Estructura de Documento y generalidades.................. 4
2 Alcance, Aplicabilidad y Contexto ................................ 4
3 Monitoreo y Seguimiento .............................................. 5
3.1 Evaluaciones internas y excepciones ................. 5
3.2 Evaluaciones externas y/o certificaciones .......... 5
4 Enfoque basado en riesgo. ........................................... 5
5 Políticas de seguridad de servidores Linux................. 6
5.1 Herramientas del Sistema .................................. 6
5.2 Boot and services............................................... 6
5.3 Kernel ................................................................ 6
5.4 Memory and processes: ..................................... 6
5.5 Users, groups and authentication ....................... 7
5.6 Shells ................................................................. 7
5.7 File systems: ...................................................... 7
5.8 Storage: ............................................................. 7
5.9 NFS.................................................................... 7
5.10 Software: name services: ................................... 7
5.11 Ports and packages: .......................................... 7
5.12 Networking: ........................................................ 7
5.13 Printers and spools: ........................................... 8
5.14 Software: e-mail and messaging ........................ 8
5.15 Software: firewalls: ............................................. 8
5.16 Software: webserver:.......................................... 8
5.17 SSH support: ...................................................... 8
5.18 SNMP support .................................................... 8
5.19 Databases: ......................................................... 8
5.20 LDAP services.................................................... 8
5.21 Software: php: .................................................... 8
5.22 Squid support ..................................................... 8
5.23 Logging and files: ............................................... 8
5.24 Insecure services: .............................................. 8
5.25 Banners and identification .................................. 9
5.26 Scheduled tasks: ................................................ 9
5.27 Accounting: ........................................................ 9
5.28 Time and synchronization: ................................. 9
5.29 Cryptography: .................................................... 9
5.30 Virtualization ...................................................... 9
5.31 Security frameworks: .......................................... 9
5.32 Software: file integrity ......................................... 9
5.33 Software: malware scanners .............................. 9
5.34 Home directories: ............................................... 9
6 Organización de Seguridad de la información ............ 9
6.1 Organización Interna .......................................... 9
6.2 Dispositivos móviles y teletrabajo (trabajo
remoto) ............................................................ 10
7 Seguridad de los recursos humanos ......................... 11
7.1 Antes del empleo ............................................. 11
7.2 Durante el empleo ............................................ 11
7.3 Terminación y cambio de empleo ..................... 11
8 Gestión de Activos ...................................................... 12
8.1 Rsponsabilidad de los activos de TI ................. 12
8.2 Clasificación de información ............................. 13
9 Terms and definitions.................................................. 14
10 Change information ..................................................... 14
11 References ................................................................... 14
12 Acronyms and definitions ........................................... 14
1 Estructura de Documento y generalidades

Este documento está estructurado en la siguiente manera:

 Secciones 2 hasta 4 cubre el alcance, aplicabilidad,

contexto, monitoreo y seguimiento, y enfoque basado en
riesgo de los requerimientos de seguridad de IT de la
compañía

 Secciones 5 describe la política de seguridad de

servidores Linux

2 Alcance, Aplicabilidad y Contexto

Este documento describe los requerimientos de seguridad de TI
sobre todos los servidores Linux, sistemas y ambientes de
aplicaciones de TI que almacenan, monitorean, administran,
manejan o procesan información de la compañía o proporcionan
servicios a la compañía. Este requerimiento está alineado con los
estándares internacionales ISO 27001.

Consulté también el Estándar ISO 27002 o contacté a Seguridad

IT para obtener orientación sobre las opciones de
implementación

Las obligaciones regulatorias y contractuales que requieren algo

diferente a lo que se define en este documento deben
implementarse para garantizar el cumplimiento de estas
obligaciones.

Todos los sistemas Linux y aplicaciones, incluyendo aquellos que

no cumplen los niveles mínimos obligatorios requeridos definidos
en este documento deben seguir el enfoque basado en riesgo
que esté definido en la sección 4.

Los requisitos de disponibilidad del sistema, así como los

relacionados al desempeño de TI, la continuidad del negocio y
los requisitos de recuperación de desastres, no están incluidos
dentro de los requerimientos de seguridad de TI
3 Monitoreo y Seguimiento
Seguridad TI está autorizado a monitorear todos los ambientes
de servidores Linux y sistemas o dispositivos que están
conectados la red de la compañía para posibles amenazas o
vulnerabilidades, incluyendo dispositivos no registrados en
Configuration Management Database (CMDB) accesible para
Seguridad TI. Cualquier exposición que se descubra debe
registrarse como un incidente para su corrección.

El Head del área Seguridad TI o una persona autorizada se

reserva el derecho de autorizar o remover cualquier sistema o
dispositivo del servicio en caso de que la exposición sea
considerad tener un alto riesgo para la compañía.

3.1 Evaluaciones internas y excepciones

Las excepciones a estos requerimientos de Seguridad TI crean

riesgos potenciales al negocio y requiere una decisión de
negocios para determinar si el riesgo es razonable para
aceptarlo, transferirlo, evitarlo o mitigarlo con orientación del área
de seguridad TI.

A menos que se indiqué lo contrario, el área de Seguridad TI no

proporciona excepciones si un servidor Linux no cumple con los
requisitos. En cambio, un análisis de riesgos, aprobado por el
propietario de la información o un delegado autorizado debe ser
incluido dentro de la documentación del sistema TI para justificar
porque se decidió implementar los controles de la manera
seleccionada o porque se decidió no implementar los controles

3.2 Evaluaciones externas y/o certificaciones

No hay requisitos de seguridad TI directamente definidos en esta

sección aparte de los controles ya definidos en este documento.

4 Enfoque basado en riesgo.

Se debe utilizar un enfoque basado en riesgo para que se
implemente el nivel de seguridad correcto teniendo en cuenta la
sensibilidad de la información contenida/procesada en los
 ambientes Linux, los procesos de negocios y otros parámetros
del negocio.

En la práctica, esto significa que el análisis de riesgos debe ser

incluido en cada servidor Linux en los que fue decidido no
implementar los requisitos de seguridad o se decidió otra manera
de implementarlos. La implementación seleccionada para cada
requisito debe llevarse a cabo de manera acorde con la
sensibilidad de la información.

5 Políticas de seguridad de servidores Linux

5.1 Herramientas del Sistema

Verificar y actualizar los binarios del sistema periódicamente

# yum update

5.2 Boot and services

Verificar los boot loaders y servicios de inicialización

# /etc/init.d

# /etc/init.d

5.3 Kernel

Kernel: run level, loaded modules, kernel configuration, core

dumps

5.4 Memory and processes:

Verificar la memoria y procesos que estan en memoria y remover

los procesos zombie y procesos en IO waiting
5.5 Users, groups and authentication

Las políticas de autentificación deben estar establecidas

# vi /etc/login.def

PAS_MAX_DAYS 150

PASS_MIN_DAYS 0

PASS_WARM_AGE 7

Checar group IDs, sudoers, PAM configuration, password aging,

default mask

5.6 Shells

Verificar cuantos shells se encuentran activos

5.7 File systems:

Verificar puntos de montura, archivos /tmp, y file system root

5.8 Storage:

Verificar si se require deshabilitar el usb-storage , firewire ohci

5.9 NFS

Validar los Network File systems

5.10 Software: name services:

DNS search domain, BIND

5.11 Ports and packages:

vulnerable/upgradable packages, security repository

5.12 Networking:

nameservers, promiscuous interfaces, connections

5.13 Printers and spools:

cups configuration

5.14 Software: e-mail and messaging

5.15 Software: firewalls:

iptables, pf

5.16 Software: webserver:

Apache, nginx

5.17 SSH support:

SSH configuration

5.18 SNMP support

5.19 Databases:

MySQL root password

5.20 LDAP services

5.21 Software: php:

php options

5.22 Squid support

5.23 Logging and files:

syslog daemon, log directories

5.24 Insecure services:

inetd
5.25 Banners and identification

5.26 Scheduled tasks:

crontab/cronjob, atd

5.27 Accounting:

sysstat data, auditd

5.28 Time and synchronization:

ntp daemon

5.29 Cryptography:

SSL certificate expiration

5.30 Virtualization

5.31 Security frameworks:

AppArmor, SELinux, grsecurity status

5.32 Software: file integrity

5.33 Software: malware scanners

5.34 Home directories:

shell history files

6 Organización de Seguridad de la información

6.1 Organización Interna

6.1.1 Segregación de deberes

Toda implementación de servidores Linux debe asegurarse de

que no hay un único role o cuenta que pueda acceder, modificar
o usar los activos de TI sin autorización o detección.
6.1.2 Contacto con autoridades

No hay requisitos de seguridad TI directamente definidos en esta

sección aparte de los controles ya definidos en este documento.

6.1.3 Contacto con grupos de interés especiales

Seguridad de TI debe mantener un apropiado contacto con

grupos de interés especiales o foros de especialistas en
seguridad y asociaciones profesionales.

6.1.4 Seguridad de la Información en la gestión de proyectos.

No hay requisitos de seguridad TI directamente definidos en esta

sección aparte de los controles ya definidos en este documento.

6.2 Dispositivos móviles y teletrabajo (trabajo remoto)

6.2.1 Politica de dispositivos moviles

Todos los requisitos de seguridad de TI detallados en estos

documentos se aplican a los dispositivos móviles (ejemplo,
laptops, tablets, teléfonos etc)

6.2.2 Trabajo remoto

No hay requisitos de seguridad TI directamente definidos en esta

sección aparte de los controles ya definidos en este documento.
7 Seguridad de los recursos humanos

El estado actual de los empleados activos, contratados y

personal de proveedores (de nuevo ingreso, terminación,
transferencia, etc) debe ser reflejado exactamente dentro de los
sistemas y aplicaciones Linux.

7.1 Antes del empleo

Esto no se encuentra dentro del alcance del área de Seguridad

TI de la compañía y debe ser manejado por RH

7.2 Durante el empleo

7.2.1 Gestión de responsabilidades

La ausencia de las políticas, practicas, directrices o

procedimientos escritos que cubran una situación en particular
relacionada con los ambientes de servidores Linux no exime a la
administración de la responsabilidad de proteger los ambientes
Linux.

7.2.2 Conciencia, educación y capacitación en seguridad de la

información

Además de las responsabilidades establecidas en varias

políticas de la compañía para todos los empleados, las
responsabilidades de administración incluyen, entre otras a:

 Asegurar que el personal de TI (incluyendo empleados y

personal del proveedor) dentro de sus organizaciones que
soporta el ambiente de TI tenga capacitación relacionada con
la seguridad necesaria para efectivamente implementar y
administrar de manera efectiva los controles necesarios para
mantener la seguridad general del entorno de Servidores
Linux

7.2.3 Proceso disciplinario

Este proceso no está actualmente dentro del alcance de la

Seguridad de TI y debe ser manejado por RH.

7.3 Terminación y cambio de empleo

 Este proceso no está actualmente dentro del alcance de la
Seguridad de TI y debe ser manejado por RH.

8 Gestión de Activos

8.1 Rsponsabilidad de los activos de TI

8.1.1 Inventario de activos de TI

Toda la información de tecnología dentro y en uso por la

compañía, tal como activos, aplicaciones, servicios, sistemas,
personal, debe ser adecuadamente grabada, rastreada y
revisada al menos anualmente dentro de la CMDB. Adicional,
también debe haber identificadores visuales claros en los activos
de TI en función de la clasificación de la información y niveles de
riesgo asociados (ej. Switch de red o firewall de internet). Una
CMDB debe contener información correcta y precisa de las
configuraciones presentes de todos los Configuration Items (CIs)
con sus atributos físicos y funcionales.

8.1.2 Propiedad de los activos de TI

Todos los activos de TI deben tener un “custodio” asignado quien

esta en posesión física o logica de la información o sistemas de
información. Este individuo(s) es responable de :

 Asegurar que los CI’s estan apropiadamente clasificados

y precisos.
 Asegurar que el correcto control de acceso es
mantenido.
 Asegurar que los CI’s son útiles, seguros y legales.

8.1.3 Uso acceptable de activos IT

Los servidores Linux y recursos deben ser utilizados para el

propósito de negocio previsto. Los usuarios no deben usar los
sistemas o servidores de la compañía para participar en cualquier
actividad o inactividad, que incluye, pero no se limita a, obtener
acceso no autorizado a otros servidores, dañando, alterando o
interrumpiendo las operaciones de los servidores.

La descarga y uso de software malicioso, hardware o actividades

de hackeo previstas para interrumpir las operaciones normales
(ej. Viruses, gusanos, bombas logicas, Trojanos, adware, o
spyware en los servidores o redes dentro del ambiente de TI) no
está permitido.
 Capturando o de alguna otra manera obteniendo claves de
autentificación (ej, passwords, encriptación o llaves biométricas),
o cualquier otro mecanismo de acceso que pueda permitir un
acceso no autorizado no está permitido.

8.1.4 Devolución de activos TI

No hay requisitos de seguridad de TI directamente definidos en

esta sección aparte de los controles ya definidos en este
documento.

8.2 Clasificación de información

8.2.1 Clasificación de Información

Toda la información de TI dentro de la compañía tales como

activos de infraestructura, aplicaciones, servicios, sistemas, etc.,
deben tener la clasificación de confidencialidad, integridad y
Disponibilidad (CIA por sus siglas en inglés) la cual es de manera
precisa almacenada en una CMDB. Esta clasificación está
basada en el principio de marcas de agua máxima (es decir si los
sistemas manejan una variedad de los activos de información,
entonces la clasificación del sistema de TI se establecerá de
acuerdo con nivel de clasificación más alto relacionado con sus
activos de información).

8.2.2 Etiquetado de información en sistemas TI

No hay requisitos de seguridad de TI directamente definidos en

esta sección aparte de los controles ya definidos en este
documento.

8.2.3 Manejo de activos TI

No hay requisitos de seguridad de TI directamente definidos en

esta sección aparte de los controles ya definidos en este
documento.

8.2.4 Administración de medios removibles

No hay requisitos de seguridad de TI directamente definidos en

esta sección aparte de los controles ya definidos en este
documento.
8.2.5 Eliminación de medios

Los datos deben volverse inutilizables e ilegibles una vez que

toda la información haya sido eliminada dentro de un activo o
servidor Linux
Antes de la eliminación de cualquier medio de almacenamiento,
todos los datos almacenados deben ser ilegibles.

8.2.6 Transferencia de medios físicos

No hay requisitos de seguridad de TI directamente definidos en

esta sección aparte de los controles ya definidos en este
documento.

9 Terms and definitions

No hay requisitos de seguridad de TI directamente definidos en
esta sección aparte de los controles ya definidos en este
documento

10 Change information

11 References
Código de Etica

12 Acronyms and definitions

CIA - Confidentiality, Integrity and Availability

CI – Configuration Items
CMDB - Configuration Management Database
Custodios de Información – Custodios son

Los custodios están en posesión física o lógica de sistemas de

información o información. En muchos casos, un gerente en el
departamento de TI actuará como el Custodio. Si un Custodio no
es claro con base en los acuerdos operacionales de los sistemas
de información existentes o contractuales, el Propietario de la
Información en conjunto con el CIO designará un Custodio. Los
custodios siguen las instrucciones de los propietarios de la
información y operan los sistemas en nombre de los propietarios.
Los custodios definen arquitecturas de sistemas de información
y brindan asistencia de consultoría técnica a los propietarios. Los
custodios deben salvaguardar la información en su poder,
incluida la implementación de sistemas de control de acceso que
cumplan con esta Política.

Propietario de información: la persona asignada como guardián

de los activos de información. Se presume que esta persona es
CIO (para un alcance de TI más amplio) o el Oficial de
Información Comercial (BIO) o delegado asignado por la BIO.

Tecnología de la información: cualquier sistema o dispositivo

involucrado en la entrega de servicios de información o
información a Ericsson.

Sistema informático: servidor (s) informático (s) o entorno de

aplicación informática

Medios: información almacenada en un formato como .doc, .pdf,

.mp4, etc.