CARGANDO

Escribe para buscar

Bastionado con OpenSCAP

En esta entrada trato de explicar un proyecto que me ha tomado algo de tiempo y se basa en el bastionado de equipos Red Hat 9 y 8 mediante la herramienta OpenSCAP. Concretamente se utiliza el bastionado proporcionado por el CCN para el cumplimiento del ENS según la guía CCN-STIC-610A22.

En los siguientes puntos se podrá encontrar una explicación de cada uno de los apartados y, al final de la entrada, un enlace al repositorio del código donde poder descargar el proyecto.

CCN y Esquema Nacional de Seguridad

Comenzando desde el apartado mas teórico, es necesario conocer que es el CCN y ENS. De forma muy resumida, el CCN, depende del CNI Español, y es el responsable de coordinar la acciones de los diferentes organismos de la Administración Pública, en materia de Seguridad y/o Tecnologías de la Información. Para llevar a cabo sus acciones, el CCN, entre otras medidas, es el responsable del mantenimiento del Esquema Nacional de Seguridad o ENS.

Entonces, ¿qué es el ENS? Este se puede definir como el marco común de principio básicos, requisitos y medidas de seguridad para la protección de la información y los servicios prestados. Y uno de los puntos más importantes, es que se trata de un marco de obligado cumplimiento para Administración Pública, y organizaciones privadas que presten servicios a estas.

Como si se tratase de una certificación de seguridad de la información, el ENS toma diferentes puntos de tratamiento y, uno de ellos, es el bastionado de equipos y/o servidores.

Para ello, el CCN pone a disposición una serie de guías o recomendaciones de seguridad con  la finalidad de adecuar los sistemas al ENS. Existen multitud de guías, pero en este caso nos centraremos en una concretamente, la guía de bastionado para sistemas Red Hat 9 o CCN-STIC-610A22.

Guía CCN-STIC-610A22

Como se ha comentado anteriormente, esta guía está enfocada al bastionado de sistemas Red Hat 9 y puede ser descargada desde aquí. Para ello, proporciona una serie de puntos y procedimientos basándose en un nivel de bastionado intermedio, siendo necesario aplicar otra serie de medidas en caso de querer aumentar la seguridad.

Los riesgos que evalúa la guía para un sistema Red Hat se clasifican de la siguiente forma:

De esta forma, si se quisiera revisar la configuración de seguridad y aplicar el bastionado correcto, simplemente habría que seguir la guía y todo correcto.

El problema es que esto es muy bonito cuando tenemos pocos equipos, pero cuando existe un parque de cientos de máquinas, este tipo de procedimientos manuales se complican…

OpenSCAP

De la idea anterior, nace la necesidad de disponer de una centralización de recursos para el bastionado de las máquinas, y aquí es donde aparece OpenSCAP.

Sin entrar en grandes aspectos técnicos, OpenSCAP presenta una solución de herramientas abiertas para la implementación de sistemas de seguridad automatizados y en constante monitorización. Así, mediante la implementación de un servidor central y la herramienta SCAP en el servidor, se podrá mantener todo el parque tecnológico monitorizado en cuanto al bastionado.

Adaptación de la guía en OpenSCAP

Podríamos decir que en este punto es desde donde realmente nace el proyecto. Aunque de forma oficial existe una adaptación del ENS a OpenSCAP, esta únicamente está pensada para Red Hat 9. Por ello, el desarrollo se ha centrado en hacer de cero la adaptación y que esta sirviera para Red Hat 8 y 9.

Lo que debemos hacer en primer lugar, es descargar el archivo XML que contiene toda la configuración desde el siguiente repositorio:

https://gitlab.com/konxen/openscap-for-ens-in-red-hat-9-and-8

Seguidamente, desde una distribución Red Hat con OpenSCAP Workbench instalado, importamos el XML y ejecutamos:

Como se puede apreciar, se realiza un escaneo por cada uno de los puntos de la guía STIC y se verifica el cumplimiento de la máquina. De esta forma, se puede realizar automáticamente la verificación.

Esta implementación no hace la remediación de los diferentes puntos. No por limitación de la herramienta, que puede hacerse perfectamente, si no por el propio proyecto, que podría ampliarse para tomar ese fin.

Conclusiones

Como se ha descrito en el post, mediante la herramienta OpenSCAP y el proyecto desarrollado es posible tener de forma automática el análisis del nivel de cumplimiento de Red Hat 8 y 9. Esto, en grandes parques tecnológicos, es de gran ayuda.

De forma personal, a este proyecto le tengo un especial cariño, pues las horas de dedicación han sido muchas. Ahora lo entrego para todos y espero que alguien pueda aprovechar el trabajo.

Por último, y viendo las fechas de publicación de esta entrada, desearos

¡Feliz Navidad y Feliz 2024! ¡Nos vemos a la vuelta! 🙂

Ah, hola 👋
Un placer conocerte.

Veo que te gusta la tecnología, ¿quieres que te mandemos una newsletter semanal?.

Acepto la política de privacidad *

¡No enviamos spam!. yo también lo odio a muerte!.

Tags:

También podría gustarte

Deja un Comentario

Your email address will not be published. Required fields are marked *