General

¡Bienvenido a los foros Aeodoo!

Somos la comunidad de Odoo internacional hispanohablante.
Estos foros son para compartir y debatir dudas técnicas, funcionales y mejores prácticas para Odoo. Recuerda que no están permitidos los insultos, descalificaciones o spam, cualquier conducta reprobable supondrá el baneo del usuario.

0

Seguridad Infraestructuras con Odoo

Quería abrir un hilo sobre cómo fortificáis vuestros servidores o VPS, o sea, qué metodologías y herramientas utilizáis tanto para el hardening como para la auditoría.


Y más allá del servidor Odoo ( nginx+odoo+postgres), con qué metodologías y herramientas fortificáis la red o todo lo externo al stack Odoo.


Ejemplos: ¿ VPN ? ¿ HIDS ? ¿NIDS/NIPS? ¿Antirootkit? ¿DMZ?¿Logging?¿PCI-DSS compliance?¿Continuidad de negocio?¿prevención y respuesta a incidentes?...


Todo esto lo estamos tratando de abarcar en un proyecto, cualquier interesado será bienvenido.


https://github.com/314-consulting/paranoid-odoo


Gracias y un saludo

Avatar
Descartar
3 Respuestas
0
Mejor respuesta

Gracias por el interés Antonio, una lástima no haber podido conocer este año en persona a la comunidad.
Ya que percibo que hay cierto desconocimiento en la comunidad Odoo sobre seguridad informática, voy a intentar hacer una síntesis y aportar un granito a las jornadas en el siguiente post.

También es cierto que haciendo pruebas de concepto, y sobretodo sobre la dimensión que abarcaría el negocio, lo más apropiado sería hacerlo coordinados entre toda la comunidad, al menos la española, contando con la asociación.

1 Comentario
Avatar
Descartar

Hay que tener en cuenta que un ERP habitualmente estaba en la intranet, sin exposición de los datos confidenciales, maestros, etc, de la empresa a Internet, y si se accedía desde fuera hasta él, la buena práctica era hacerlo con un tunel VPN para evitar interceptación en la comunicación, como un man-in-the-middle.

En este aspecto, la ventaja de Odoo al ser un "todo en uno", se convierte en tener tan expuesta a los riesgos intrínsecos de Internet tanto la web/CMS/ecommerce como los datos confidenciales de la empresa.

Algunas definiciones a tener en cuenta:

- Perímetro:

Frontera entre Internet y el cloud.

De forma heredada los cortafuegos(FW) han funcionado como perímetro, desde basados en la capa IP y TCP y hasta HTTP.

En el caso de Odoo con un FW a nivel web, WAF, se pueden mitigar por ejemplo accesos o peticiones directamente al API de backend o controller: un ejemplo sería una inyeccción SQL que traspasara el ORM (aunque según Odoo Enterprise lo tienen muy perfeccionado) y accediera a la base de datos.

Otro ejemplo común sería, la alta frecuencia de peticiones que puede afrontar un producto en un comercio electrónico. También con un WAF se pueden mitigar, aunque depende del escenario, con un API GW con rate limit, se podrían controlar.

En los proveedores de cloud pública el "nuevo" perímetro es la identidad del origen, controlado por los IAM ( Identity and Access Management ). Un ejemplo sería tener segundo factor de autenticación en el puerto SSH de una máquina abierto el FW tanto a nivel de red como de host, o sea que accedes al SSH con correo y teléfono...

- HIDS ( Host Intrusion Detection System ):

El HIDS, se refiere a que actua dentro del sistema operativo, host, si por ejemplo, fuera un kubernetes actuaría a nivel de worker o nodo, y analizaría los eventos de cada contenedor.

Un HIDS, por tanto, es un sistema que detecta con expresiones regulares y otras técnicas, y genera alertas en base a eventos (SIEM) para ser revisadas por un Analista de Seguridad que analice cada alerta y compruebe si en la matriz de confusión es una detección verdadera o falsa.

Un ejemplo Open Source es Wazuh ( OSSEC+++ ).

- NIDS( Network Intrusion Detection System ):

Es un sistema que detecta patrones al igual que el HIDS, pero en vez de basarse en eventos y logs del sistema se basa en detectar patrones en el tráfico de red.

Un ejemplo Open Source es Security Onion ( Snort+++ )

- IPS ( Intrusion Prevention System ):

Este sistema es igual que el HIDS, pero llegado cierto umbral, bloquea automáticamente el origen del tráfico de red.

La prueba fácil para saber si tu proveedor cloud dispone de éste tipo de prevención es ejecutar un escáner web a tu URL de Odoo con OWASP ZAP. Si no te bloquea la IP y la pone en lista negra es que no lo tiene en su cloud. También decir que ejecutar un escáner a una URL que no es propiedad tuya no es legal o ético. En otras palabras, has de tener un contrato para ejecutar la auditoría en una ventana de tiempo y desde un origen estipulado para que los analistas de seguridad conozcan que es un evento permitido y te exceptuen en las reglas del IPS y FW, si es que es una auditoría en regla.

Todo este trabajo lo suelen llevar a cabo equipos en SOC/CSIRT/CERT.

Un SIEM de seguridad analizaría todas las dimensiones de seguridad (disponibilidad, autenticidad, integridad, confidencialidad, trazabilidad) del sistema al completo.

Ahora mismo, no conozco con exactitud, se está publicando un nuevo Esquema Nacional de Seguridad (ENS), que tengo entendido pretenden que sea transparente pero también desconozco si se utilizarán tecnologías open source (transparentes).

0
Mejor respuesta

En relación a este hilo de seguridad en el stack odoo ( nginx-odoo-postgres ), he desplegado una solución de monitorización de eventos enfocada a la seguridad pero ampliable en todos los sentidos. Un SIEM, que permite verificar si la máquina monitorizada cumple los estándares de cumplimiento normativo como PCI-DSS, GDPR, HIPPA... además de tener muchas integraciones como por ejemplo con VirusTotal.

Básicamente es para logging, pero también se pueden añadir métricas.

Se trata de la solución opensource Wazuh: https://documentation.wazuh.com/current/

Técnicamente, es una NoSQL orientada a documentos, un fork de elasticsearch, opendistroforeleasticsearch, filebeat como colector de logs, y kibana con frontend. Además, Wazuh tiene desarrollado su propia aplicación sobre éste stack.

Estoy en fase de pruebas, (no es un cluster ni hago backups) y si alguien quiere entrar en esta fase beta, estaré encantado, no tiene más que contactarme por privado.

En cualquier caso, resaltar que el servicio está orientado exclusivamente a implementaciones Odoo commnity, y cuando esté maduro se ofrecerá como MSSP (Proveedor de servicio de seguridad administrado).

Espero que tenga buena acogida en la comunidad, ¡ Gracias !

1 Comentario
Avatar
Descartar

Interesante, si vas a asistir a OCA days en Logroño o a los días de presentaciones organizados por AEODOO, sería interesante que hicieras un ponencia para presentar el proyecto.

Su respuesta

Intente dar una respuesta sustancial. Si desea hacer un comentario sobre la pregunta o la respuesta, utilice la herramienta de comentarios. Recuerde que siempre puede revisar sus respuestas , no es necesario responder dos veces a la misma pregunta. No olvide votar , ayuda a seleccionar las mejores preguntas y respuestas