Seguridad de la Información en Linux – ISO 17799

Slides:



Advertisements
Presentaciones similares
Capitulo 7: Procesamiento batch y el Job Entry Subsystem (JES)
Advertisements

Intranets P. Reyes / Octubre 2004.
InvGate IT Management Software.
La Solución de Gestión de Identidades de Oracle
XI Reunión de Responsables de Sistemas de Información
1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN LAS EMPRESAS GALLEGAS ( Resumen PYMES ) Noviembre de 2004.
1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN LAS EMPRESAS GALLEGAS (MICROEMPRESAS, resultados provisionales) 29 de julio de 2004.
Módulo 5 – Inspecciones en rampa
Módulo N° 7 – Introducción al SMS
Internet y tecnologías web
CFGM Redes Locales Documentos: Elementos de configuración de una suite de antivirus. Panda Internet Security 2011.
Presentación del Consultor
Los objetivos de esta presentación
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Fundamentos de Diseño de Software INFT.1
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
Leo Marthe x 2123 COMMANDperformance Leo Marthe x 2123.
SEGURIDAD EN REDES DE DATOS
© 2007 Cisco Systems, Inc. All rights reserved. Traducido en apoyo a la capacitación de Instructores de la Red Proydesa Vivir en un mundo basado en redes.
Confidencial Enero, 2013 Nologin Consulting Corus Server Appliance & Authentication Broker.
Aspectos Organizativos para la Seguridad
Conexión a Internet a través de un ISP
C ONFIGURACIÓN C UENTAS D E C ORREO ZTE N281. C ONFIGURACIÓN C UENTAS D E C ORREO ZTE N281 1-Ingrese a menú 2-Ingrese a Mensajes 3-Ingrese a Correo 4-Seleccione.
1 Reporte Componente Impacto Por Orden Territorial Por Departamento No Disponible ND *Los indicadores para el año 2008 no fueron calculados.
Funciones Excel. Parte 1. Introducción 2 Una función Excel es una fórmula o un procedimiento que se realiza en el ambiente de Visual Basic, fuera de.
© 2006 Cisco Systems, Inc. Todos los derechos reservados.Información pública de Cisco 1 Prestación de servicios para trabajadores a distancia Acceso a.
Phone2Wave-Server Manual de Operación.
Universidad Nacional Autónoma de Honduras
50 principios La Agenda 1.- Presentar un único interlocutor a los clientes. 2.- Tratar de modo distinto a las diferentes clases de clientes. 3.- Saber.
Trascendencia de este curso Curso Introducción a la Computación 1
SonicWALL CDP Backup continuo y recuperación de datos Seminario comercial Maria Garcia
50 principios 1. Los clientes asumen el mando.
Oscar Navarrete J. Jorge Gutiérrez A.
Kpmg. El comercio electrónico y sus incertidumbres Resultado de la encuesta sobre
METODOLOGÍA PARA IMPLANTAR UN SISTEMA INTEGRADO DE INFORMACIÓN
Seguridad de redes empresariales
Compartir Informacion Compartir Hardware y Software
AUDITORIA TECNOLOGIAS DE INFORMACION
Aplicación elementos del MECI 1000:2005
Principios fundamentales de la seguridad de la información: un enfoque tecnológico A/C Rosina Ordoqui.
Es un Sistema operativo de red. Es una de las plataformas de servicio más fiable para ofrecer acceso seguro y continuado a la red y los recursos de.
Auditoria Informática Unidad II
Reunión de los requerimientos de la red
Trabajo Practico – Base de Datos II
DEFENSA PÚBLICA Jorge Salinas
Módulo N° 9 – Operación del SMS
Módulo N° 7 – Introducción al SMS
AUDITORIA DE LA SEGURIDAD en Telecomunicaciones y redes de computadoras Unidad VI.
1/27 Optimización de Internet con Software Libre Jack Daniel Cáceres Meza
© 2006 Cisco Systems, Inc. Todos los derechos reservados.Información pública de Cisco 1 Listas de control de acceso Acceso a la WAN: capítulo 5.
PROTEJA A SU NEGOCIO PEQUEÑO DEL FRAUDE. DIAPOSITIVA OCULTA: Instrucciones De Preparación para el Coordinador 2.
Manual de Procedimientos Procedimiento de ejecución del programa de
1 Projecto de Auditorías de Confirmación Programa Ambiental México-EE.UU. Frontera 2012 Formación de Auditores 13 de marzo 2007.
FUNDAMENTOS DE CALIDAD EN LA GESTIÓN PÚBLICA
Administrar • Crear • Autoservicio • Auditoría • Workflows
Experiencia Kuo Comunicaciones Unificadas México, D.F. Oct, 2011 Confidential.
VII Congreso de Expotecnología UVM 2007 Jonás A. Montilva C.
FMAT, UADY Noviembre 2003 Prácticas de seguridad para Administradores.
Certificaciones CompTIA
Redes Privadas Virtuales
SGSI: Sistemas de Gestión de la Seguridad de la Información
Proveedores de servicios externos
Jenny Alexandra Marin Luis Carlos Avila Javier Murcia
Máxima seguridad para sus datos Juan Ignacio Quesada Senior Sales Consultant.
Seguridad de Datos Soluciones y Estándares de Seguridad.
Conociendo el modelo Cliente-Servidor
QPortalNet ® Intranet / Extranet Corporativas Convierta el conocimiento de su organización en un pilar competitivo Fortalezas Se que Se Debilidades No.
Conociendo el modelo Cliente-Servidor. Introducción En el mundo de TCP/IP las comunicaciones entre computadoras se rigen básicamente por lo que se llama.
Transcripción de la presentación:

Seguridad de la Información en Linux – ISO 17799 Walter Cuestas Arquitecto de Seguridad de la Información Miembro colaborador de Linux Professional Institute Wcuestas@myrealbox.com

Agenda Overview de la arquitectura de seguridad standard de la industria Definiciones de terminología standard en la industria ISO 17799 y Common Body of Knowledge (CBK) Análisis de Riesgo Sistemas de Control de Accesso Almacén de Identidades Autenticación Consolidada Seguridad Perimetral

CIA Describe el balance entre Seguridad & funcionalidad del Usuario Confidencialidad Availability (Disponibilidad) Integridad

CIA Availability (Disponibilidad) Integridad Confidencialidad Asegurar acceso en el tiempo correcto y confiable a los datos y recursos Asegurar que los datos y procesos son accesibles a los individuos autorizados e inaccesibles a los individuos no autorizados Integridad Asegurar validez y precisión de la información y los sistemas Asegurar que la modificación no autorizada es prevenida Verificación de autenticidad, es decir, asegurar que la fuente de información es confiable y conocida Confidencialidad Asegurar que el secreto es impuesto de acuerdo con las políticas de seguridad Debe ser impuesto cuando se almacena, transmite y consumen datos o recursos

Terminología Común Política de Seguridad Declaración “paraguas” producida por la Alta Dirección para determinar que tipo de rol tendrá la seguridad dentro de la organización Impuesto a través de Standards, Procedimientos, Procesos definidos y Guías directrices Standards – Mecanismos de hardware & software y productos usados para imponer la política de seguridad Procesos – Método de implementación para mecanismos y productos de seguridad Guías directrices – Acciones recomendadas cuando los standard específicos no aplican Procedimientos – Instrucciones paso a paso detallando cómo implementar la política de seguridad

ISC2 y Common Body of Knowledge (CBK) : ISO 17799 10 dominios de seguridad como los define ISO 17799 y desarrollados por Internet Information Systems Security Certification Consortium (ISC)2 Sistemas y metodologías para el control de acceso Seguridad de las telecomunicaciones y redes Prácticas de administración de seguridad Seguridad en el desarrollo de aplicaciones y sistemas Criptografía Arquitectura y modelos de seguridad Seguridad de las operaciones Planeamiento de continuídad del negocio Leyes, investigaciones y ética Seguridad física

Amenazas, vulnerabilidades & riesgos Agente de Amenaza Amenaza Vulnerabilidad Protección Debilidades que pueden proveer de acceso no autorizado a los recursos Cualquier daño potencial a los sistemas de información Probabilidad que un Agente de Amenaza explote una vulnerabilidad Riesgo Actúa en las Amenazas Instancia en que es expuesto a perdidas debido al Agente de Amenaza

Análisis de Riesgo Método para identificar riesgos y evaluar el daño posible que podría ser causado para justificar medidas de seguridad Usado para afianzar el hecho que la seguridad tiene un costo apropiado, relevante, oportuno y que responde a las amenazas Puede ser cuantitativo o cualitativo Cuantitativo asgina valores de probabilidad a amenazas específicas y calcula las expectativas anuales de pérdidas Cualitativo asigna valores a amenazas específicas basado en la información de expertos en la materia dentro de la organización

Sistemas de Control de Acceso Qué significa un Sistema de Control de Acceso para Ud. ? Controles de Acceso al Sistema de Archivos Derechos sobre el sistema de archivos Controles de Acceso a la Red Tecnologías de VPN y Firewalls Controles de Acceso a las Aplicaciones Uso tradicional de directorios, Roles en las Bases de Datos, Portales Controles de Acceso Físico Lectores de Tarjetas, Proximity cards The point is Access control systems is a very vast topic. Building an access control system is not choosing a single technology that covers all aspects of Access Control. It requires many components that when used together address all aspects of Access Control.

Componentes de un Sistema de Control de Acceso Los Sistemas de Control de Acceso se focalizan en proveer: Identificación – Habilidad del consumidor para aseverar su identidad Autenticación – Habilidad para validar la aseveración de Identificación Lo que sabes (i.e. Password) Lo que tienes (i.e. Smartcard, token, badge) Lo que eres (i.e. Biometría) Autorización – Habilidad para determinar derechos, roles y privilegios específicos a la identidad autenticada

Ejemplos de soluciones de Control de Acceso Tres soluciones de control de acceso: Identity Management Provisionamiento automatizado Almacén de Indentidades centralizado Sincronización de identidad Single Sign-on Identidad universal Redirección de autenticación/autorización Administración/sincronización de password Portales/Seguridad perimetral Web protection

Componentes de un Sistema de Control de Acceso Identity Management Almacén de Identidades Seguridad De Red Perimetral Consolidación de Autenticación

Cómo puede proveer valor un Identity Vault ? Administración de identidad en forma centralizada Muchas aplicaciones comparten la misma data y funcionalidad Provee los fundamentos para la personalización Provee las bases para el control de acceso NSG

Identity vault: La clave en un Sistema de Administración de Acceso Sistema de Help Desk Sistema de RRHH PBX Identity Vault Sistema de E-Mail File & Print

Cómo se “mapea” el Identity Vault al CBK ? Sistemas y metodologías para el control de acceso Seguridad de las telecomunicaciones y redes Prácticas de administración de seguridad Seguridad en el desarrollo de aplicaciones y sistemas Criptografía Arquitectura y modelos de seguridad Seguridad de las operaciones Planeamiento de continuídad de los negocios Leyes, investigación y ética Seguridad física

Nombres Propios-Identity Vault eDirectory OpenLDAP SUN One Directory Server Oracle Internet Directory IBM Secureway

Cómo se puede consolidar la autenticación? Seguridad de Identidad / Credencial Metadirectorios Integración de Sistemas Operativos Password Management usando Single Signon Reforzamiento de la Autenticación Redirección LDAP Autenticación por Múltiples Factores Interfaces JDBC, ADSI etc… NSS

Identidades Integradas RRHH ERP Base de Datos Metadirectorio Sistema Operativo Correo Directorio PBX

Sistemas que se requiere conectar Active Directory eDirectory NT Domains NIS Exchange GroupWise Notes LDAP Text JDBC PeopleSoft SAP HR Websphere MQ SIF Firewall-1 VPN-1 Netegrity SecureLogin SunOne iPlanet Secureway Critical Path OID DirX Oracle Sybase MySQL MSSQL DB2 Informix NIS + /etc/passwd AIX Red Hat SuSE Solaris Debian x.500 Banner Oracle HR Cisco VoIP RSA ACE Radius Oracle Financials RACF ACF/2 HP UX Tibco WebLogic JD Edwards Policy Director eTrust DSML

Integración de Sistemas Operativos AD NDS Directorio NT Domains Solaris en Sparc & Intel Cuentas Linux Sincronizador De Gestión De Cuentas Tru64 Free-BSD MVS RACF, ACF2, Top Secret VMS AIX HP-UX

Por qué Single Signon es considerado acceso administrado? Password Management típico basado en el cliente es: Completamente basado en el cliente Almacenado en sistemas de archivos no seguros No escala para usuarios móviles No hay administración centralizada Single Signon es: Completamente basado en directorios Almacenado en un directorio LDAP seguro Permite el “roaming” a cualquier PC Administrado centralizadamente a través del Directorio El no puede vulnerar el “secret store” de las credenciales, pero, si puede revocar el acceso

Experiencia de login—Después de Single Signon Servidor de la Aplicación Directorio Login ID: Password: Solicita credenciales Petición de Secreto Inicia aplicación Autenticación al Directorio Activa aplicación Recibe Secreto (ID/PSWD) Provee credenciales Estación de trabajo

Autenticación Tradicional Aplicación Win32 Aplicación Oracle Aplicación de RRHH Aplicación de Planillas UserID = Jane Password = Pizza UserID = Jane Password = Pizza UserID = Jane Password = Pizza UserID = Jane Password = Pizza Aplicación Web Aplicación Web API de la Aplicación API de la Aplicación API de la Aplicación UserID = Jane Password = Pizza API de la Aplicación UserID = Jane Password = Pizza API de la Aplicación API de la Aplicación Here is the typical scenario. Each application maintains it’s own authentication information. Typically the user will violate many security policies managing these credentials (i.e. make them all similar, choose weak passwords, write them down etc…)

Autenticación Consolidada Usa API Standard (LDAP p.e.) Autenticación al Directorio Directorio en Linux UserID = Jane Password = Pespi&Coke Aplicación Win32 Aplicación Oracle Aplicación de RRHH Aplicación de Planillas UserID = Jane Password = Pizza UserID = Jane Password = Pizza UserID = Jane Password = Pizza UserID = Jane Password = Pizza Aplicación Web Aplicación Web UserID = Jane Password = Pizza UserID = Jane Password = Pizza

Autenticación y Autorización por Múltiples Factores Directorio

Cómo la autenticación consolidada “mapea” el CBK ? Sistemas y metodologías para el control de acceso Seguridad de las telecomunicaciones y redes Prácticas de administración de seguridad Seguridad en el desarrollo de aplicaciones y sistemas Criptografía Arquitectura y modelos de seguridad Seguridad de las operaciones Planeamiento de continuídad de los negocios Leyes, investigación y ética Seguridad física

Nombres Propios-Autenticación Consolidada Novell Nsure Identity Manager (DirXML-Novell Account Management-SecureLogin y otros) Computer Associates IBM Tivoli Identity Manager-Tivoli Access Manager BMC No IdM sino eProvisioning : Control-SA

Seguridad Perimetral típica en las redes de hoy Intranet Firewall Servidores Web y Aplicaciones Empleado LHowarth - xxx Seguridad E-mail Internet HowarthL - yyy 7748-zzz MYHales Cliente HalesMY - yyy Seguridad ERP 2298- zzz Extranet WatG - yyy 7366 - zzz Partner Seguridad CRM

Web Protection – ¿Cómo trabaja? Proxy Server-Linux User=xx Password=xx ACL Security Browser Preferencias=Suspenso, Horror 1. Autenticación- ¿Quién es usted? ACL 2. Control de Acceso- A qué necesita acceso? Servidores Web y de aplicación 3. Single Signon 4. OLAC (Personalización) Directorio 5. Confidencialidad de Datos

Los portales están considerados en la seguridad perimetral ? Alguna vez pensó en los problemas de seguridad que una solución de portal crea? Antes del portal: Acceso de los usuarios a los recursos internos desde fuera del firewall es limitado La administración del firewall es sencilla Después del portal: Acceso de los usuarios a los recursos internos desde fuera del firewall esta en constante expansión Las excepciones en el firewall deben ser manejadas para cada recurso que es requerido desde fuera del firewall NSG

Flujo de tráfico con algunas soluciones de portal DMZ Directorio Firewall Externo Firewall Interno Browser PeopleSoft Portal Webserver Servidor del Portal Exchange 2000 Webserver NSS Explain that Portal services simply wrap content from other sources into a single view but the actual traffic flow is unchanged. This forces the firewalls to be opened to allow the flow of traffic to and from the internal web servers. The more content you add the more problems you have.

Flujo de Tráfico con Web Protection DMZ Directorio Servidor del Portal Firewall Externo Firewall Interno Browser Web Protection PeopleSoft Portal Webserver Exchange 2000 Webserver NSS iChain will funnel the traffic through a single device so that firewalls do not need to be changed to add content to a portal.

Cómo se “mapea” la seguridad perimetral al CBK ? Sistemas y metodologías para el control de acceso Seguridad de las telecomunicaciones y redes Prácticas de administración de seguridad Seguridad en el desarrollo de aplicaciones y sistemas Criptografía Arquitectura y modelos de seguridad Seguridad de las operaciones Planeamiento de continuídad de los negocios Leyes, investigación y ética Seguridad física

Nombre Propios-Seguridad Perimetral Mara Systems eMara Open Source & Free Software Squid-IPTables-Apache-OpenSSL-OpenLDAP Novell iChain

CBK sin y con controles Controles Lógicos Controles Administrativos Sistemas y metodologías para el control de acceso Seguridad de las telecomunicaciones y redes Prácticas de administración de seguridad Seguridad en el desarrollo de aplicaciones y sistemas Criptografía Arquitectura y modelos de serguridad Seguridad de las operaciones Planeamiento de continuídad de los negocios Leyes, investigación y ética Seguridad física Controles Lógicos Controles Administrativos Controles Físicos

Arquitectura Básica de Auditoría PA Reportes Monitores Aplicaciones Auditadas Colector de Eventos Módulos de Almacén Notificatciones Generador De Monitoreo Servidor de Logeo Seguro Almacén FLAT FILE SQL ... Email SNMP SYSLOG CVR* Base de Datos Java Notificaciones Agente de Plataforma Directorio

Asegurando los recursos organizacionales Identity Management Integración de SOS Provisionamiento Metadirectorio Qué esta pasando en mis sistemas ? Servidores Web NT/2000/XP Linux Directorio Administrador WP Single Signon Empleados Clientes Firewall Partners / Proveedores Net

Preguntas & Respuestas