1 / 36

Seguridad de la Información en Linux – ISO 17799

Seguridad de la Información en Linux – ISO 17799. Walter Cuestas Arquitecto de Seguridad de la Información Miembro colaborador de Linux Professional Institute Wcuestas@myrealbox.com. Overview de la arquitectura de seguridad standard de la industria

aricin
Download Presentation

Seguridad de la Información en Linux – ISO 17799

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Seguridad de la Información en Linux – ISO 17799 Walter Cuestas Arquitecto de Seguridad de la Información Miembro colaborador de Linux Professional Institute Wcuestas@myrealbox.com

  2. Overview de la arquitectura de seguridad standard de la industria Definiciones de terminología standard en la industria ISO 17799 y Common Body of Knowledge (CBK) Análisis de Riesgo Sistemas de Control de Accesso Almacén de Identidades Autenticación Consolidada Seguridad Perimetral Agenda

  3. CIA Describe el balance entre Seguridad & funcionalidad del Usuario Confidencialidad Availability (Disponibilidad) Integridad

  4. Política de Seguridad Declaración “paraguas” producida por la Alta Dirección para determinar que tipo de rol tendrá la seguridad dentro de la organización Impuesto a través de Standards, Procedimientos, Procesos definidos y Guías directrices Standards –Mecanismos de hardware & software y productos usados para imponer la política de seguridad Procesos –Método de implementación para mecanismos y productos de seguridad Guías directrices –Acciones recomendadas cuando los standard específicos no aplican Procedimientos –Instrucciones paso a paso detallando cómo implementar la política de seguridad Terminología Común

  5. 10 dominios de seguridad como los define ISO 17799 y desarrollados por Internet Information Systems Security Certification Consortium (ISC)2 Sistemas y metodologías para el control de acceso Seguridad de las telecomunicaciones y redes Prácticas de administración de seguridad Seguridad en el desarrollo de aplicaciones y sistemas Criptografía Arquitectura y modelos de seguridad Seguridad de las operaciones Planeamiento de continuídad del negocio Leyes, investigaciones y ética Seguridad física ISC2 y Common Body of Knowledge (CBK) : ISO 17799

  6. Amenaza Cualquier daño potencial a los sistemas de información Debilidades que pueden proveer de acceso no autorizado a los recursos Agente de Amenaza Vulnerabilidad Actúa en las Amenazas Actúa en las Amenazas Riesgo Protección Instancia en que es expuesto a perdidas debido al Agente de Amenaza Probabilidad que un Agente de Amenaza explote una vulnerabilidad Amenazas, vulnerabilidades & riesgos

  7. Método para identificar riesgos y evaluar el daño posible que podría ser causado para justificar medidas de seguridad Usado para afianzar el hecho que la seguridad tiene un costo apropiado, relevante, oportuno y que responde a las amenazas Puede ser cuantitativo o cualitativo Cuantitativo asgina valores de probabilidad a amenazas específicas y calcula las expectativas anuales de pérdidas Cualitativo asigna valores a amenazas específicas basado en la información de expertos en la materia dentro de la organización Análisis de Riesgo

  8. Qué significa un Sistema de Control de Acceso para Ud. ? Controles de Acceso al Sistema de Archivos Derechos sobre el sistema de archivos Controles de Acceso a la Red Tecnologías de VPN y Firewalls Controles de Acceso a las Aplicaciones Uso tradicional de directorios, Roles en las Bases de Datos, Portales Controles de Acceso Físico Lectores de Tarjetas, Proximity cards Sistemas de Control de Acceso

  9. Los Sistemas de Control de Acceso se focalizan en proveer: Identificación – Habilidad del consumidor para aseverar su identidad Autenticación – Habilidad para validar la aseveración de Identificación Lo que sabes (i.e. Password) Lo que tienes (i.e. Smartcard, token, badge) Lo que eres (i.e. Biometría) Autorización – Habilidad para determinar derechos, roles y privilegios específicos a la identidad autenticada Componentes de un Sistema de Control de Acceso

  10. Tres soluciones de control de acceso: Identity Management Provisionamiento automatizado Almacén de Indentidades centralizado Sincronización de identidad Single Sign-on Identidad universal Redirección de autenticación/autorización Administración/sincronización de password Portales/Seguridad perimetral Web protection Ejemplos de soluciones de Control de Acceso

  11. Componentes de un Sistema de Control de Acceso Identity Management Almacén de Identidades Seguridad De Red Perimetral Consolidación de Autenticación

  12. Administración de identidad en forma centralizada Muchas aplicaciones comparten la misma data y funcionalidad Provee los fundamentos para la personalización Provee las bases para el control de acceso Cómo puede proveer valor un Identity Vault ?

  13. Identity vault:La clave en un Sistema de Administración de Acceso Sistema de RRHH Sistema de Help Desk PBX IdentityVault Sistema de E-Mail File & Print

  14. Sistemas y metodologías para el control de acceso Seguridad de las telecomunicaciones y redes Prácticas de administración de seguridad Seguridad en el desarrollo de aplicaciones y sistemas Criptografía Arquitectura y modelos de seguridad Seguridad de las operaciones Planeamiento de continuídad de los negocios Leyes, investigación y ética Seguridad física Cómo se “mapea” el Identity Vault al CBK ?

  15. eDirectory OpenLDAP SUN One Directory Server Oracle Internet Directory IBM Secureway Nombres Propios-Identity Vault

  16. Seguridad de Identidad / Credencial Metadirectorios Integración de Sistemas Operativos Password Management usando Single Signon Reforzamiento de la Autenticación Redirección LDAP Autenticación por Múltiples Factores Interfaces JDBC, ADSI etc… Cómo se puede consolidar la autenticación?

  17. Identidades Integradas RRHH ERP Metadirectorio Base de Datos Sistema Operativo Correo Directorio PBX

  18. Sistemas que se requiere conectar • Active Directory • eDirectory • NT Domains • NIS • Exchange • GroupWise • Notes • LDAP • Text • JDBC • PeopleSoft • SAP HR • Websphere MQ • SIF • Firewall-1 • VPN-1 • Netegrity • SecureLogin • SunOne • iPlanet • Secureway • Critical Path • OID • DirX • Oracle • Sybase • MySQL • MSSQL • DB2 • Informix • NIS + • /etc/passwd • AIX • Red Hat • SuSE • Solaris • Debian • x.500 • Banner • Oracle HR • Cisco VoIP • RSA ACE • Radius • Oracle Financials • RACF • ACF/2 • HP UX • Tibco • WebLogic • JD Edwards • Policy Director • eTrust • DSML

  19. Integración de Sistemas Operativos AD NDS NT Domains Solaris en Sparc & Intel Directorio Cuentas Linux Sincronizador De Gestión De Cuentas Tru64 Free-BSD MVS RACF, ACF2, Top Secret VMS AIX HP-UX

  20. Password Management típico basado en el cliente es: Completamente basado en el cliente Almacenado en sistemas de archivos no seguros No escala para usuarios móviles No hay administración centralizada Single Signon es: Completamente basado en directorios Almacenado en un directorio LDAP seguro Permite el “roaming” a cualquier PC Administrado centralizadamente a través del Directorio El no puede vulnerar el “secret store” de las credenciales, pero, si puede revocar el acceso Por qué Single Signones considerado acceso administrado?

  21. Login ID: Password: Experiencia de login—Después de Single Signon Servidor de la Aplicación Directorio Solicita credenciales Petición de Secreto Inicia aplicación Autenticación al Directorio Activa aplicación Recibe Secreto (ID/PSWD) Estación de trabajo Provee credenciales

  22. Autenticación Tradicional Aplicación Win32 Aplicación Oracle Aplicación de RRHH Aplicación de Planillas UserID = Jane Password = Pizza UserID = Jane Password = Pizza UserID = Jane Password = Pizza UserID = Jane Password = Pizza Aplicación Web Aplicación Web API de la Aplicación API de la Aplicación API de la Aplicación API de la Aplicación UserID = Jane Password = Pizza UserID = Jane Password = Pizza API de la Aplicación API de la Aplicación

  23. Autenticación Consolidada Usa API Standard (LDAP p.e.) Autenticación al Directorio Directorio en Linux UserID = Jane Password = Pespi&Coke Aplicación Win32 Aplicación Oracle Aplicación de RRHH Aplicación de Planillas UserID = Jane Password = Pizza UserID = Jane Password = Pizza UserID = Jane Password = Pizza UserID = Jane Password = Pizza Aplicación Web Aplicación Web UserID = Jane Password = Pizza UserID = Jane Password = Pizza

  24. Autenticación y Autorización por Múltiples Factores Directorio

  25. Sistemas y metodologías para el control de acceso Seguridad de las telecomunicaciones y redes Prácticas de administración de seguridad Seguridad en el desarrollo de aplicaciones y sistemas Criptografía Arquitectura y modelos de seguridad Seguridad de las operaciones Planeamiento de continuídad de los negocios Leyes, investigación y ética Seguridad física Cómo la autenticación consolidada “mapea” el CBK ?

  26. Novell Nsure Identity Manager (DirXML-Novell Account Management-SecureLogin y otros) Computer Associates IBM Tivoli Identity Manager-Tivoli Access Manager BMC No IdM sino eProvisioning : Control-SA Nombres Propios-Autenticación Consolidada

  27. Seguridad Perimetral típica en las redes de hoy Firewall Intranet Servidores Web y Aplicaciones Empleado Seguridad LHowarth - xxx E-mail HowarthL - yyy Internet 7748-zzz MYHales Cliente HalesMY - yyy ERP Seguridad 2298- zzz Extranet WatG - yyy 7366 - zzz Partner Seguridad CRM

  28. User=xx Password=xx Preferencias=Suspenso, Horror ACL ACL Web Protection – ¿Cómo trabaja? Proxy Server-Linux Security Browser 1. Autenticación- ¿Quién es usted? 2. Control de Acceso- A qué necesita acceso? Servidores Web y de aplicación 3. Single Signon Directorio 4. OLAC (Personalización) 5. Confidencialidad de Datos

  29. Alguna vez pensó en los problemas de seguridad que una solución de portal crea? Antes del portal: Acceso de los usuarios a los recursos internos desde fuera del firewall es limitado La administración del firewall es sencilla Después del portal: Acceso de los usuarios a los recursos internos desde fuera del firewall esta en constante expansión Las excepciones en el firewall deben ser manejadas para cada recurso que es requerido desde fuera del firewall Los portales están considerados en la seguridad perimetral ?

  30. Flujo de tráfico con algunas soluciones de portal DMZ Directorio Firewall Externo Firewall Interno Browser PeopleSoft Portal Webserver Servidor del Portal Exchange 2000 Webserver

  31. Flujo de Tráfico con Web Protection DMZ Directorio Servidor del Portal Firewall Externo Firewall Interno Web Protection Browser PeopleSoft Portal Webserver Exchange 2000 Webserver

  32. Sistemas y metodologías para el control de acceso Seguridad de las telecomunicaciones y redes Prácticas de administración de seguridad Seguridad en el desarrollo de aplicaciones y sistemas Criptografía Arquitectura y modelos de seguridad Seguridad de las operaciones Planeamiento de continuídad de los negocios Leyes, investigación y ética Seguridad física Cómo se “mapea” la seguridad perimetral al CBK ?

  33. Mara Systems eMara Open Source & Free Software Squid-IPTables-Apache-OpenSSL-OpenLDAP Novell iChain Nombre Propios-Seguridad Perimetral

  34. Sistemas y metodologías para el control de acceso Seguridad de las telecomunicaciones y redes Prácticas de administración de seguridad Seguridad en el desarrollo de aplicaciones y sistemas Criptografía Arquitectura y modelos de serguridad Seguridad de las operaciones Planeamiento de continuídad de los negocios Leyes, investigación y ética Seguridad física CBK sin y con controles Controles Lógicos Controles Administrativos Controles Físicos

  35. Aplicaciones Auditadas Servidor de Logeo Seguro PA Monitores Monitoreo Notificaciones Notificatciones Colector de Eventos Email SNMP SYSLOG CVR* Base de Datos Java PA Directorio Almacén Generador De Reportes Módulos de Almacén Agente de Plataforma FLAT FILE SQL ... Reportes PA PA Arquitectura Básica de Auditoría

  36. Preguntas & Respuestas

More Related