Monitorización de seguridad

Pandora FMS se puede emplear para monitorizar el estado de infraestructuras de seguridad tales como entornos de backup, antivirus, VPN, firewalls, IDS/IPS, SIEM, honeypots, sistemas de autentificación, sistemas de almacenamiento, recogida de logs, etcétera. Además, Pandora FMS incorpora herramientas internas para incrementar la propia seguridad como doble autentificación (2FA), cifrado en la base de datos para las contraseñas, autentificación externa, protocolo Tentacle usando cifrado de datos (SSL/TLS), registro de auditoría propio y otras características para hacer más segura la plataforma. Pandora FMS, como organización, dispone de certificación 27001, y es CNA en Mitre para gestionar sus propios CVE. Tenemos una política de seguridad pública y abierta para auditores de seguridad independientes.

Además de esas funciones Pandora FMS incorpora funcionalidades específicas de seguridad propias desde la versión 773 y se irán añadiendo más funcionalidades en sucesivas versiones.

En la versión 774 Pandora FMS incorpora las siguientes funcionalidades propias de seguridad.

• Plugin de monitorización de seguridad, para supervisar la seguridad básica del sistema, diseñado para servidores Linux® únicamente.
• Sistema de evaluación de hardening a lo largo del tiempo (Linux®, MS Windows®).
• Sistema de evaluación de las vulnerabilidades del sistema (Linux®, MS Windows® y sistemas remotos).
• A partir de la versión 784: Sistema de integridad de directorios y ficheros, File Integrity Monitoring (FIM) (Linux®, MS Windows®).

Este plugin, que viene de serie en los EndPoints para Linux, se encarga de verificar constantemente ciertos aspectos básicos de su entorno. Está diseñado para ser ligero, afectando muy poco al rendimiento del sistema y ser lanzado con el intervalo estándar del EndPoint, cada cinco minutos. Comprueba los siguientes aspectos del sistema:

• Robustez de las contraseñas de todos los usuarios con acceso al sistema. Lo hace a través de un “diccionario de contraseñas”, por defecto compuesto por 100 entradas. Puede personalizar dicho diccionario y añadir sus propias entradas (para reflejar las típicas contraseñas comunes usadas en su organización). El 90% de los ataques habituales tienen como vector de ataque una cuenta de usuario mal protegida en un entorno secundario.
• Estado de SELinux, verificando si está activo o presente.
• Acceso remoto como usuario root, verificando que esté desactivado el inicio de sesión con contraseña para este usuario.
• Acceso remoto automático como root mediante llaves SSH previamente configuradas y establecidas.
• Puertos TCP en escucha activa (que estén fuera de una lista de números de puertos permitidos).
• Modificación de ficheros de configuración esenciales, verificando la integridad de los mismos y si han cambiado (ficheros como /etc/resolv.conf, /etc/hosts/, /etc/passwd y otros).

Son cosas muy básicas pero a la vez muy importantes. Cualquier sistema, sea un entorno de pruebas, una máquina virtual o un VPS en un hosting secundario es vulnerable a ataques básicos pero que suelen ser el 80% de los que abren una incidencia más seria en la organización.

Para instalar el plugin de seguridad basta con activarlo en el EndPoint Linux el cual viene por defecto incluido en versiones 774 o posteriores:

module_begin
module_plugin /etc/pandora/plugins/pandora_security_check
module_end

Para instalar el plugin en versiones anteriores del EndPoint, se puede descargar de la biblioteca de Pandora FMS:

Para el EndPoint PFMS versión 775 o posterior está incluido un plugin que viene desactivado por defecto. Para habilitarlo deben descomentar las siguientes instrucciones en el fichero de configuración:

# Pandora basic security check plugin for windows.
#module_begin
#module_plugin "%PROGRAMFILES%\Pandora_Agent\util\pandora_security_win.exe"
#module_end

Una vez se haya reiniciado el EndPoint se recogerán los siguientes módulos de agente:

• Antivirus instalado y funcionando, ya sea de Microsoft® o terceros, y si se encuentran actualizadas sus definiciones de virus (dos módulos). En MS Windows server® esta característica no está disponible por lo que los módulos no son creados.
• Verifica si el bloqueo automático de pantalla está activo (Lock screen status), esto protege la cuenta del usuario cuando deja desatendido el equipo, sin actividad de ratón y teclado (un módulo).
• Consulta si MS Windows® se encuentra actualizado (Windows updated®) hace una semana o menos (un módulo).
• Situación del cortafuegos, activado o no (tres módulos, uno por cada perfil del firewall: Domain network, Private network y Public network).
• Verificación de que todas las cuentas locales cuentan con contraseña establecida (un módulo).
• Un módulo es dedicado a monitorizar si el registro de intentos fallidos de sesión se encuentra activo o no (solamente para OS instalados en inglés y en español).

←Volver al índice de documentación de Pandora FMS