introducción a la seguridad perimetral
DESCRIPTION
TRANSCRIPT
Seguridad Perimetral en Redes GNU/Linux
Esteban Saavedra Lopez, Ph.D
CEO Opentelematics Internacional [email protected]
http://jesaavedra.opentelematics.orghttp://esteban.profesionales.org
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 1 / 46
Agenda
Introduccion
Definiciones
Elementos
Escenarios
El software Libre al rescate
Demo
Conclusiones
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 2 / 46
La seguridad Informatica
Se dice que lo es todo, cuando la comprendemos y la podemos controlar,y se dice que es nada cuando la desconocemos y obviamente no lapodemos controlar.
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 3 / 46
Que es seguridad de la informacion?
Evaluar expectativas yamenazas en un contexto
Alcanzar seguridad deseada
Mantener nivel de seguridad
Proceso iterativo y continuo
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 4 / 46
Seguridad
Que es....
La seguridad no es un producto, es un proceso
Bruce Schneier
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 5 / 46
Que dicen los expertos....
Kevin Mitnick
La gente no esta preparada contra el engano a traves de la tecnologıa
Tambien se dice:
Una cadena es tan fuerte como su eslabon mas debil
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 6 / 46
Defensa en profundidad (Defense in Depth)
La seguridad perimetral
La red interna
El factor humano
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 7 / 46
La seguridad perimetral
Filtrado de paquetes (Firewalls, proxys, pasarelas)
Sistema de Deteccion y Prevencion de Intrusiones
Redes Privadas Virtuales
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 8 / 46
La red interna
Cortafuegos personales
Antivirus
Sistema operativo y gestion de configuracion
Auditorıa
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 9 / 46
El factor humano
Polıtica de seguridad
Formacion
Concienciacion
Gestion de incidentes
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 10 / 46
La seguridad perimetral
Definicion
Agregado de hardware, software y polıticas para proteger una red en laque se tiene confianza (intranet) de otras redes en las que no se tieneconfianza (extranets, Internet)
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 11 / 46
Objetivo
Centralizar el control de acceso para mantener a los intrusos fuera,permitiendo que la gente de dentro trabaje normalmente.
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 12 / 46
Seguridad perimetral
La seguridad perimetral
No es un componente aislado: es una estrategia para proteger losrecursos de una organizacion conectada a la red
Es la realizacion practica de la polıtica de seguridad de unaorganizacion. Sin una polıtica de seguridad, la seguridad perimetralno sirve de nada
Condiciona la credibilidad de una organizacion en Internet
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 13 / 46
Ejemplos de cometidos de la seguridad perimetral
Rechazar conexiones a servicios comprometidos
Permitir solo ciertos tipos de trafico (p. ej. correo electronico) oentre ciertos nodos.
Proporcionar un unico punto de interconexion con el exterior
Redirigir el trafico entrante a los sistemas adecuados dentro de laintranet
Ocultar sistemas o servicios vulnerables que no son faciles deproteger desde Internet
Auditar el trafico entre el exterior y el interior
Ocultar informacion: nombres de sistemas, topologıa de la red, tiposde dispositivos de red, cuentas de usuarios internos...
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 14 / 46
Definiciones Basicas
Perımetro
La frontera fortificada de nuestra red incluye:
Routers
Cortafuegos
Sistemas de Deteccion de Intrusiones
Redes Privadas Virtuales
Software y servicios
Zonas desmilitarizadas y subredes controladas (screened subnets)
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 15 / 46
Definiciones Basicas
Router frontera
El ultimo router que controlamos antes de Internet. Primera y ultimalınea de defensa. Filtrado inicial y final.
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 16 / 46
Definiciones Basicas
Cortafuegos
Dispositivo que tiene un conjunto de reglas para especificar que traficose acepta o se deniega. Dos procedimientos complementarios:
Bloqueo de trafico
Habilitacion de trafico
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 17 / 46
Definiciones Basicas
Sistema de Deteccion de Intrusiones
Sistema formado por un conjunto de sensores localizadosestrategicamente en la red interna para detectar ataques. Se basan enfirmas (signatures) conocidas de ataques. Dos tipos
Sistema de deteccion de intrusiones de red (NIDS)
Sistema de deteccion de intrusiones de estacion (HIDS)
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 18 / 46
Definiciones Basicas
Red Privada Virtual
Sesion de red protegida establecida a traves de canales no protegidos(e.g. Internet). Se materializa en dispositivos en el perımetro paraestablecer sesiones cifradas.
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 19 / 46
Definiciones Basicas
Arquitectura Software y Servicios
Aplicaciones instaladas en una red interna. El proposito principal de laseguridad perimetral es proteger los datos y servicios proporcionados porlas aplicaciones.
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 20 / 46
Definiciones Basicas
Zona desmilitarizada y subred controlada
Pequenas porciones de la red con servicios accesibles desde el exterior.
Zona desmilitarizada: Situada delante del cortafuegos, tras el routerfrontera.
Red controlada: Situada tras el cortafuegos
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 21 / 46
La seguridad perimetral a detalle
Filtrado de paquetes
Estatico.Dinamico.Con estado:
Stateful Filtering.Y con inspeccion de paquetes (Stateful Packet Inspeccion).
Cortafuegos basado en proxys:
Pasarela a nivel de aplicacion.Pasarela a nivel de circuito.
Sistema contra Intrusiones
Deteccion.Prevencion.
Redes Privadas Virtuales
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 22 / 46
Seguridad Perimetral
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 23 / 46
Estructura del perimetro
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 24 / 46
Estructura de un firewall
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 25 / 46
Funciones de una firewall
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 26 / 46
Que es un proxy
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 27 / 46
Que es una VPN
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 28 / 46
Que es una DMZ
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 29 / 46
Estructura de una DMZ
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 30 / 46
Acciones y Actores
Acciones y Actores
Que debemos hacer, de quien debemos cuidarnos?
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 31 / 46
De que debemos cuidarnos
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 32 / 46
Los antivirus coadyuban a la seguridad perimetral
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 33 / 46
Tareas a realizar
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 34 / 46
Pasos a seguir
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 35 / 46
Que precisamos?
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 36 / 46
El Software Libre al rescate
El Software Libre al rescate
Por defecto, cualquier distribucion de GNU/Linux tiene la capacidad debrindarnos una serie de herramientas, que nos permiten establecer unaperimetro de seguridad, desde lo mas simple a lo mas complejo.
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 37 / 46
Herramientas de Software Libre
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 38 / 46
Firewall (1)
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 39 / 46
Firewall (2)
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 40 / 46
Gestion y Monitoreo (1)
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 41 / 46
Gestion y Monitoreo (2)
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 42 / 46
Productos Integrales
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 43 / 46
Referencias
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 44 / 46
Demostracion de Herramientas
Demostracion de Herramientas
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 45 / 46
Preguntas
Preguntas
Preguntas, dudas, consultas, sugerencias,...
Esteban Saavedra Lopez, Ph.D (Opentelematics)Seguridad Perimetral en Redes GNU/Linux Oct. 2008 46 / 46