Sugerencias para ASIR: Qué he visto en las empresas

linux
fp
software
sistemas
windows
programación

#1

Buenas tardes a todos. Hablando con @pedrofa os dejo una lista de cosas con las que me he topado. Las organizo por asignaturas. Ping también a @femarper

Seguridad informática:

  • IPTABLES
  • OpenVPN
  • OpenSSL y certificados para TSL/SSL
  • Relaciones de confianza entre máquina
  • Firewalls tipo Fortinet
  • Selinux
  • Clústeres con Percona/Galera de Mysql
  • Concepto de máquinas de salto
  • Backups
  • Túneles SSH

Implantación de Aplicaciones web:

  • Entornos LAMP
  • Nginx
  • Wordpress
  • Varnish
  • Let’s encrypt
  • Concepto de una CDN
  • Compilación de aplicaciones en un directorio a parte para tener múltiples verisiones de PHP por ejemplo.
  • Control de versiones (git)

Administración de Base de datos

  • Mysql /MariaDB
  • PostgresSQL
  • MongoDB

Administración de Sistemas operativos:

  • Red hat
  • Debian
  • Shell scripts (incluyendo AWK y SED)
  • Azure
  • Aws
  • Nagios
  • Zabbix
  • Prometheus
  • Docker
  • Ansible

Servicios en Red:

  • SFTP
  • Apache
  • HaProxy como balanceador de carga
  • Hitch como terminador TLS
  • Nginx
  • Apache Tomcat

Iré matizando el hilo según vaya acordándome.


#2

Muy bien, si alguien más quiere opinar me gustaría conocer las sugerencias.
Por mi parte, en Seguridad informática, intentaré actualizar. Algunas cosas ya las damos, pero otras puede ser interesante incluirlas o cambiarlas por algo más actual.
Lo de git si que es verdad que tenemos que darlo ya en sistemas, porque en programación se ve, pero en sistemas todavía. Si no convenzo a los otros compañeros meteré algo en mi módulo (SAD).


#3

Pega más en Administración de Sistemas, por que con git pudes revertir de forma simple los archivos de configuración.


#4

Sabes que cuando queiras hacemos un taller de Git a los alumnos!!!


#5

El curso que viene lo hacemos seguro


#6

Tienes toda la razón, por eso quiero que se dé, si no podemos en Implantación lo hacemos en Seguridad


#7

De git y “jihjuh”? :smile:

Nagios es canela en rama. Si además algún profe se animase a hablar de Grafana, aunque sea como clase única, sería un puntazo, es otra herramienta muy interesante a tener en cuenta desde el punto de vista de un sysadmin. Por otro lado, AWS y Azure, me parecen dos puntos muy relevantes de cara a empresas, y bastant fáciles de poner en marcha, ambos ofrecen planes gratuitos y para estudiantes, además de un montón de documentación sencillota que viene de perlas.


#8

y de ISO/IEC 29110 :smiley:


#9

Además de Docker, Kubernetes y demás sistemas de contenedores.


#10

Por mi experiencia también se utiliza mucho Integración Continua (gitlab ci, drone, travis, etc.). Para hacer despliegues automáticos es muy útil.

Un ejemplo, CI con Kubernetes, para hacer despliegues directamente de git.

Además no solo se utiliza en software, también lo he visto en algunas universidades de Alemania. No dejan a los chavales ‘toquetear’ el hardware, y con integración continua envian el programa, lo compila, y lo ejecuta en el hardware en remoto. Y luego con una cámara ven si funciona el experimento. Así no se rompe el hardware, y la gente puede seguir desarrollando.


#11

Buen aporte, pero creo que de ahí bastaría con entender los conceptos y dejarlo como idea para que en el ciclo salgan proyectos chulos DevOps.


#12

Sin hacer mención a productos concretos sino más bien a tecnologías, desde mi punto de vista es interesante el desarrollo de capacidades en:

  • Sistemas de bases de datos:
    • Administración de sistemas de bases de datos desde el punto de vista más físico como puede ser almacenamiento, gestión y/o configuración de memoria, parámetros de kernel, y en definitiva recusos del sistema en el que se hospeda de la instancia.
    • Administración de los sistemas de bases de datos desde el punto de vista lógico, como tipos bases de datos, tipos de objetos que se pueden/suelen manejar, estructuras de indexación, definición de esquemas, aplicación de estándares donde corresponda (esto creo que es muy importante cuando hablamos de las formas normales por ejemplo).
    • Configuraciones de alta disponibiliidad, configruaciones de alto rendimiento, replicación, particionamiento.
  • Sistemas de criptografía. En concreto sistemas de clave pública y privada. También procesos de firma electrónica y validación.
  • Sistemas de información geográfica. Estándares, servicios de integración y publicación, bases de datos geográficas.

#13

Hola,

En la parte de Seguridad Informática agregaría “Gestión de Vulnerabilidades”. Hoy en día en una empresa con u número significativo de activos constituye una pieza clave tanta en el área de Seguridad Informática como en el área de Sistemas. Abarcaría distintas fases:

  • fase inicial de definición de una estrategia y creación de una política de gestión de vulnerabilidades mediante la aplicación de un framework de seguridad, junto con la gestión y clasificación de activos.

  • fase de identificación, búsqueda de vulnerabilidades en el entorno informático (servidores linux/windows, servicios en la nube, dispositivos móviles, dispositivos de red, end-points, etc…

  • fase de análisis, Priorización de las mismas según entornos criticos. Catalogación por severidad o CVSS.

  • fase de comunicacion, cómo comunicar las vulnerabilidades a los responsables de los activos implicados. Integraciòn de herramientas de busqueda de vulnerabildiades con herramientas de ticketing. Generación de informes

  • fase de tratamiento, realizada normalmente por el área de sistemas, abarca la gestión de parcheado (analisis, pruebas, exclusiones, etc…) mediante herramientas y aplicando los tiempos establecidos en la normativa definida. Verificación.

Esto se puede moldear (eliminar o ampliar) determinados puntos. Existen herramientas gratuitas o con periodo de pruebas de X días que se podrían usar para realizar determinadas prácticas (nessus, tenable.io, o similares).

Para la parte de Seguridad y/o Sistemas se debería ver también el tema de PKI (infraestuctura de clave pública). Me consta que para gran parte de usuarios tecnológicos es “ciencia infusa”.

  • Certificados digitales. x509v3
  • Clave publica clave privada, RSA, ECC, CSR (Certificate Signing Requests)
  • Autoridad de Certificación (CA), Autoridad de Registro (RA), entidad final
  • Jerarquías y cadenas de certificados.
  • Validacion de certificados (CRL, OCSP)
  • Propósitos de certificado (server, cliente, s/mime, firma de código, etc…)
  • Tipos de Certificados (DV,OV, EV)
  • SAN (Subject Alternative Name)
  • Ficheros .cer, .pem .p12, pfx
  • estandares PKCS, ASN.1
  • Declaración de Prácticas de Certificación (DPC)
  • Almacenamiento de claves privadas (pkcs#12, pfx, tokenUSB, HSM, chip TPM,…)

Proyectos como este https://www.hohnstaedt.de/xca/ ayudan a realizar prácticas. Tambien la PKI de Microsoft es válida. Sus productos son free durante 180 días. Y los comandos de openssl para gestión de certificados.

Espero que os sirva. A vuestra disposición para aclarar cualquier duda.
Gracias.


#14

Este tema se cerró automáticamente 20 días después del último post. No se permiten nuevas respuestas.