POLÍTICAS DE SEGURIDAD

DEBIAN

¿Qué son las políticas de seguridad?

Las políticas de Seguridad de la

Tecnología de la Información

identifican las reglas y procedimientos

para cada usuario que accede o usa

los recursos tecnológicos de una

organización

Las políticas de seguridad deben considerar

algunos elementos.

•Alcance de las políticas: Facilidades, sistemas y el

los usuarios sobre el cual aplicara.

Objetivos de las Políticas y debe tener una

Definición de violaciones y sanciones en caso de

no cumplir con las políticas.escripción clara en su

definición

•Responsabilidades por cada servicio y recurso

•Requerimientos mínimos para la seguridad de los

sistemas

•Responsabilidades de los usuarios respecto a la

información a la que tiene acceso

FIREWALL O EL FILTRADO DE PAQUETES

Un firewall es una puerta de enlace de la red con filtro y sólo es eficaz enaquellos paquetes que deben pasar a través de ella.

NETFILTER utiliza cuatro tablas distintas que almacenan las reglas queregulan tres tipos de operaciones sobre los paquetes:

•filter se refiere a las reglas de filtrado (aceptar, rechazar o ignorar unpaquete)

•nat se refiere a la traducción de las direcciones de origen o destino ypuertos de los paquetes, tenga en cuenta que esta tabla sólo existe paraIPv4;

•mangle se refiere a otros cambios en los paquetes IP

•raw permite otras modificaciones manuales en los paquetes antes de quelleguen al sistema de seguimiento de conexiones.

CREACIÓN DE REGLAS

Cada creación de una regla requiere una invocación de iptables/ip6tables.Escribir estas órdenes de forma manual puede ser tedioso, por lo que lasllamadas se suelen almacenar en un script para definir la mismaconfiguración automáticamente cada vez que arranque la máquina.

Puede escribir este script a mano, pero también puede ser interesanteprepararlo con una herramienta de alto nivel como fwbuilder.

SUPERVISIÓN: PREVENCIÓN, DETECCIÓN, DISUASIÓN

La monitorización es una parte integral de cualquier política de seguridad

por varias razones:

•Garantizar la confidencialidad de los datos,

•Garantizar la disponibilidad de los servicios.

•Detección de intentos de intrusión

•Permite una reacción rápida antes que ocurran graves consecuencias

MONITORIZACIÓN DE LOS REGISTROS CON LOGCHECK

logcheck monitoriza los archivos de registro, de forma predeterminada, cada hora.

Envía los mensajes de registro inusuales en correos electrónicos al administrador

para su posterior análisis.

La lista de archivos a monitorizar se almacena en /etc/logcheck/logcheck.logfiles;

los valores predeterminados funcionan bien si no modificó completamente el

archivo /etc/syslog.conf

MONITORIZACIÓN DE ACTIVIDAD

En tiempo real

top es una herramienta interactiva que muestra una lista de los procesos

en ejecución.

Historial

DETECCIÓN DE CAMBIOS

Una vez que el sistema está instalado y configurado, dejando al margen las

actualizaciones de seguridad, es interesante asegurarse que efectivamente

los archivos no cambian: debería investigar cualquier cambio inesperado.

Auditoría de paquetes: debsums

permite buscar qué archivos instalados han sido modificados se encuentran

en /var/lib/dpkg/info/paquete.md5sums

Monitorización de archivos: AIDE

Permite comprobar la integridad de los archivos y detectar cualquier

cambio frente a una imagen guardada previamente del sistema válido. Se

almacena esta imagen como una base de datos (/var/lib/aide/aide.db)

DETECCIÓN DE INTRUSIONES

snort es un NIDS — un sistema de detección de intrusiones de red

(«Network Intrusion Detection System»). Su función es escuchar la red y

tratar de detectar intentos de infiltración y/o actos hostiles (inclusive ataques

de denegación de servicio).

Todos estos eventos son registrados y diariamente se envía un email al

administrador con un resumen de las últimas 24 horas.