La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Seguridad de la Información en Linux – ISO 17799

Presentaciones similares


Presentación del tema: "Seguridad de la Información en Linux – ISO 17799"— Transcripción de la presentación:

1 Seguridad de la Información en Linux – ISO 17799
Walter Cuestas Arquitecto de Seguridad de la Información Miembro colaborador de Linux Professional Institute

2 Agenda Overview de la arquitectura de seguridad standard de la industria Definiciones de terminología standard en la industria ISO y Common Body of Knowledge (CBK) Análisis de Riesgo Sistemas de Control de Accesso Almacén de Identidades Autenticación Consolidada Seguridad Perimetral

3 CIA Describe el balance entre Seguridad & funcionalidad del Usuario
Confidencialidad Availability (Disponibilidad) Integridad

4 CIA Availability (Disponibilidad) Integridad Confidencialidad
Asegurar acceso en el tiempo correcto y confiable a los datos y recursos Asegurar que los datos y procesos son accesibles a los individuos autorizados e inaccesibles a los individuos no autorizados Integridad Asegurar validez y precisión de la información y los sistemas Asegurar que la modificación no autorizada es prevenida Verificación de autenticidad, es decir, asegurar que la fuente de información es confiable y conocida Confidencialidad Asegurar que el secreto es impuesto de acuerdo con las políticas de seguridad Debe ser impuesto cuando se almacena, transmite y consumen datos o recursos

5 Terminología Común Política de Seguridad
Declaración “paraguas” producida por la Alta Dirección para determinar que tipo de rol tendrá la seguridad dentro de la organización Impuesto a través de Standards, Procedimientos, Procesos definidos y Guías directrices Standards – Mecanismos de hardware & software y productos usados para imponer la política de seguridad Procesos – Método de implementación para mecanismos y productos de seguridad Guías directrices – Acciones recomendadas cuando los standard específicos no aplican Procedimientos – Instrucciones paso a paso detallando cómo implementar la política de seguridad

6 ISC2 y Common Body of Knowledge (CBK) : ISO 17799
10 dominios de seguridad como los define ISO y desarrollados por Internet Information Systems Security Certification Consortium (ISC)2 Sistemas y metodologías para el control de acceso Seguridad de las telecomunicaciones y redes Prácticas de administración de seguridad Seguridad en el desarrollo de aplicaciones y sistemas Criptografía Arquitectura y modelos de seguridad Seguridad de las operaciones Planeamiento de continuídad del negocio Leyes, investigaciones y ética Seguridad física

7 Amenazas, vulnerabilidades & riesgos
Agente de Amenaza Amenaza Vulnerabilidad Protección Debilidades que pueden proveer de acceso no autorizado a los recursos Cualquier daño potencial a los sistemas de información Probabilidad que un Agente de Amenaza explote una vulnerabilidad Riesgo Actúa en las Amenazas Instancia en que es expuesto a perdidas debido al Agente de Amenaza

8 Análisis de Riesgo Método para identificar riesgos y evaluar el daño posible que podría ser causado para justificar medidas de seguridad Usado para afianzar el hecho que la seguridad tiene un costo apropiado, relevante, oportuno y que responde a las amenazas Puede ser cuantitativo o cualitativo Cuantitativo asgina valores de probabilidad a amenazas específicas y calcula las expectativas anuales de pérdidas Cualitativo asigna valores a amenazas específicas basado en la información de expertos en la materia dentro de la organización

9 Sistemas de Control de Acceso
Qué significa un Sistema de Control de Acceso para Ud. ? Controles de Acceso al Sistema de Archivos Derechos sobre el sistema de archivos Controles de Acceso a la Red Tecnologías de VPN y Firewalls Controles de Acceso a las Aplicaciones Uso tradicional de directorios, Roles en las Bases de Datos, Portales Controles de Acceso Físico Lectores de Tarjetas, Proximity cards The point is Access control systems is a very vast topic. Building an access control system is not choosing a single technology that covers all aspects of Access Control. It requires many components that when used together address all aspects of Access Control.

10 Componentes de un Sistema de Control de Acceso
Los Sistemas de Control de Acceso se focalizan en proveer: Identificación – Habilidad del consumidor para aseverar su identidad Autenticación – Habilidad para validar la aseveración de Identificación Lo que sabes (i.e. Password) Lo que tienes (i.e. Smartcard, token, badge) Lo que eres (i.e. Biometría) Autorización – Habilidad para determinar derechos, roles y privilegios específicos a la identidad autenticada

11 Ejemplos de soluciones de Control de Acceso
Tres soluciones de control de acceso: Identity Management Provisionamiento automatizado Almacén de Indentidades centralizado Sincronización de identidad Single Sign-on Identidad universal Redirección de autenticación/autorización Administración/sincronización de password Portales/Seguridad perimetral Web protection

12 Componentes de un Sistema de Control de Acceso
Identity Management Almacén de Identidades Seguridad De Red Perimetral Consolidación de Autenticación

13 Cómo puede proveer valor un Identity Vault ?
Administración de identidad en forma centralizada Muchas aplicaciones comparten la misma data y funcionalidad Provee los fundamentos para la personalización Provee las bases para el control de acceso NSG

14 Identity vault: La clave en un Sistema de Administración de Acceso
Sistema de Help Desk Sistema de RRHH PBX Identity Vault Sistema de File & Print

15 Cómo se “mapea” el Identity Vault al CBK ?
Sistemas y metodologías para el control de acceso Seguridad de las telecomunicaciones y redes Prácticas de administración de seguridad Seguridad en el desarrollo de aplicaciones y sistemas Criptografía Arquitectura y modelos de seguridad Seguridad de las operaciones Planeamiento de continuídad de los negocios Leyes, investigación y ética Seguridad física

16 Nombres Propios-Identity Vault
eDirectory OpenLDAP SUN One Directory Server Oracle Internet Directory IBM Secureway

17 Cómo se puede consolidar la autenticación?
Seguridad de Identidad / Credencial Metadirectorios Integración de Sistemas Operativos Password Management usando Single Signon Reforzamiento de la Autenticación Redirección LDAP Autenticación por Múltiples Factores Interfaces JDBC, ADSI etc… NSS

18 Identidades Integradas
RRHH ERP Base de Datos Metadirectorio Sistema Operativo Correo Directorio PBX

19 Sistemas que se requiere conectar
Active Directory eDirectory NT Domains NIS Exchange GroupWise Notes LDAP Text JDBC PeopleSoft SAP HR Websphere MQ SIF Firewall-1 VPN-1 Netegrity SecureLogin SunOne iPlanet Secureway Critical Path OID DirX Oracle Sybase MySQL MSSQL DB2 Informix NIS + /etc/passwd AIX Red Hat SuSE Solaris Debian x.500 Banner Oracle HR Cisco VoIP RSA ACE Radius Oracle Financials RACF ACF/2 HP UX Tibco WebLogic JD Edwards Policy Director eTrust DSML

20 Integración de Sistemas Operativos
AD NDS Directorio NT Domains Solaris en Sparc & Intel Cuentas Linux Sincronizador De Gestión De Cuentas Tru64 Free-BSD MVS RACF, ACF2, Top Secret VMS AIX HP-UX

21 Por qué Single Signon es considerado acceso administrado?
Password Management típico basado en el cliente es: Completamente basado en el cliente Almacenado en sistemas de archivos no seguros No escala para usuarios móviles No hay administración centralizada Single Signon es: Completamente basado en directorios Almacenado en un directorio LDAP seguro Permite el “roaming” a cualquier PC Administrado centralizadamente a través del Directorio El no puede vulnerar el “secret store” de las credenciales, pero, si puede revocar el acceso

22 Experiencia de login—Después de Single Signon
Servidor de la Aplicación Directorio Login ID: Password: Solicita credenciales Petición de Secreto Inicia aplicación Autenticación al Directorio Activa aplicación Recibe Secreto (ID/PSWD) Provee credenciales Estación de trabajo

23 Autenticación Tradicional
Aplicación Win32 Aplicación Oracle Aplicación de RRHH Aplicación de Planillas UserID = Jane Password = Pizza UserID = Jane Password = Pizza UserID = Jane Password = Pizza UserID = Jane Password = Pizza Aplicación Web Aplicación Web API de la Aplicación API de la Aplicación API de la Aplicación UserID = Jane Password = Pizza API de la Aplicación UserID = Jane Password = Pizza API de la Aplicación API de la Aplicación Here is the typical scenario. Each application maintains it’s own authentication information. Typically the user will violate many security policies managing these credentials (i.e. make them all similar, choose weak passwords, write them down etc…)

24 Autenticación Consolidada
Usa API Standard (LDAP p.e.) Autenticación al Directorio Directorio en Linux UserID = Jane Password = Pespi&Coke Aplicación Win32 Aplicación Oracle Aplicación de RRHH Aplicación de Planillas UserID = Jane Password = Pizza UserID = Jane Password = Pizza UserID = Jane Password = Pizza UserID = Jane Password = Pizza Aplicación Web Aplicación Web UserID = Jane Password = Pizza UserID = Jane Password = Pizza

25 Autenticación y Autorización por Múltiples Factores
Directorio

26 Cómo la autenticación consolidada “mapea” el CBK ?
Sistemas y metodologías para el control de acceso Seguridad de las telecomunicaciones y redes Prácticas de administración de seguridad Seguridad en el desarrollo de aplicaciones y sistemas Criptografía Arquitectura y modelos de seguridad Seguridad de las operaciones Planeamiento de continuídad de los negocios Leyes, investigación y ética Seguridad física

27 Nombres Propios-Autenticación Consolidada
Novell Nsure Identity Manager (DirXML-Novell Account Management-SecureLogin y otros) Computer Associates IBM Tivoli Identity Manager-Tivoli Access Manager BMC No IdM sino eProvisioning : Control-SA

28 Seguridad Perimetral típica en las redes de hoy
Intranet Firewall Servidores Web y Aplicaciones Empleado LHowarth - xxx Seguridad Internet HowarthL - yyy 7748-zzz MYHales Cliente HalesMY - yyy Seguridad ERP 2298- zzz Extranet WatG - yyy zzz Partner Seguridad CRM

29 Web Protection – ¿Cómo trabaja?
Proxy Server-Linux User=xx Password=xx ACL Security Browser Preferencias=Suspenso, Horror 1. Autenticación- ¿Quién es usted? ACL 2. Control de Acceso A qué necesita acceso? Servidores Web y de aplicación 3. Single Signon 4. OLAC (Personalización) Directorio 5. Confidencialidad de Datos

30 Los portales están considerados en la seguridad perimetral ?
Alguna vez pensó en los problemas de seguridad que una solución de portal crea? Antes del portal: Acceso de los usuarios a los recursos internos desde fuera del firewall es limitado La administración del firewall es sencilla Después del portal: Acceso de los usuarios a los recursos internos desde fuera del firewall esta en constante expansión Las excepciones en el firewall deben ser manejadas para cada recurso que es requerido desde fuera del firewall NSG

31 Flujo de tráfico con algunas soluciones de portal
DMZ Directorio Firewall Externo Firewall Interno Browser PeopleSoft Portal Webserver Servidor del Portal Exchange 2000 Webserver NSS Explain that Portal services simply wrap content from other sources into a single view but the actual traffic flow is unchanged. This forces the firewalls to be opened to allow the flow of traffic to and from the internal web servers. The more content you add the more problems you have.

32 Flujo de Tráfico con Web Protection
DMZ Directorio Servidor del Portal Firewall Externo Firewall Interno Browser Web Protection PeopleSoft Portal Webserver Exchange 2000 Webserver NSS iChain will funnel the traffic through a single device so that firewalls do not need to be changed to add content to a portal.

33 Cómo se “mapea” la seguridad perimetral al CBK ?
Sistemas y metodologías para el control de acceso Seguridad de las telecomunicaciones y redes Prácticas de administración de seguridad Seguridad en el desarrollo de aplicaciones y sistemas Criptografía Arquitectura y modelos de seguridad Seguridad de las operaciones Planeamiento de continuídad de los negocios Leyes, investigación y ética Seguridad física

34 Nombre Propios-Seguridad Perimetral
Mara Systems eMara Open Source & Free Software Squid-IPTables-Apache-OpenSSL-OpenLDAP Novell iChain

35 CBK sin y con controles Controles Lógicos Controles Administrativos
Sistemas y metodologías para el control de acceso Seguridad de las telecomunicaciones y redes Prácticas de administración de seguridad Seguridad en el desarrollo de aplicaciones y sistemas Criptografía Arquitectura y modelos de serguridad Seguridad de las operaciones Planeamiento de continuídad de los negocios Leyes, investigación y ética Seguridad física Controles Lógicos Controles Administrativos Controles Físicos

36 Arquitectura Básica de Auditoría
PA Reportes Monitores Aplicaciones Auditadas Colector de Eventos Módulos de Almacén Notificatciones Generador De Monitoreo Servidor de Logeo Seguro Almacén FLAT FILE SQL ... SNMP SYSLOG CVR* Base de Datos Java Notificaciones Agente de Plataforma Directorio

37 Asegurando los recursos organizacionales
Identity Management Integración de SOS Provisionamiento Metadirectorio Qué esta pasando en mis sistemas ? Servidores Web NT/2000/XP Linux Directorio Administrador WP Single Signon Empleados Clientes Firewall Partners / Proveedores Net

38 Preguntas & Respuestas


Descargar ppt "Seguridad de la Información en Linux – ISO 17799"

Presentaciones similares


Anuncios Google