Seguridad de la Información en Linux – ISO 17799
Walter CuestasArquitecto de Seguridad de la InformaciónMiembro colaborador de Linux Professional [email protected]
2
Agenda
• Overview de la arquitectura de seguridad standard de la industria
• Definiciones de terminología standard en la industria
• ISO 17799 y Common Body of Knowledge (CBK)
• Análisis de Riesgo• Sistemas de Control de Accesso• Almacén de Identidades• Autenticación Consolidada• Seguridad Perimetral
3
CIA
Confidencialidad
Availability(Disponibilidad)
Integridad
Describe el balance entre Seguridad & funcionalidad del Usuario
5
Terminología Común
Política de Seguridad• Declaración “paraguas” producida por la Alta
Dirección para determinar que tipo de rol tendrá la seguridad dentro de la organización
• Impuesto a través de Standards, Procedimientos, Procesos definidos y Guías directrices
– Standards – Mecanismos de hardware & software y productos usados para imponer la política de seguridad
– Procesos – Método de implementación para mecanismos y productos de seguridad
– Guías directrices – Acciones recomendadas cuando los standard específicos no aplican
– Procedimientos – Instrucciones paso a paso detallando cómo implementar la política de seguridad
6
ISC2 y Common Body of Knowledge (CBK) : ISO 17799
10 dominios de seguridad como los define ISO 17799 y desarrollados por Internet Information Systems Security Certification Consortium (ISC)2
• Sistemas y metodologías para el control de acceso
• Seguridad de las telecomunicaciones y redes• Prácticas de administración de seguridad• Seguridad en el desarrollo de aplicaciones y
sistemas• Criptografía• Arquitectura y modelos de seguridad• Seguridad de las operaciones• Planeamiento de continuídad del negocio• Leyes, investigaciones y ética• Seguridad física
7
ExploitsDa
orígen a
Conducea
PuedeDañar
YCausar
un
Que generala aplicación de medidas de
Afectadirectamente
ActivoExposure
Agente de Amenaza
Amenaza
Vulnerabilidad
Protección
Debilidades que puedenproveer de accesono autorizado a
los recursos
Cualquier daño potencial a los sistemas de información
Probabilidad que un Agente de
Amenaza explote una vulnerabilidad
Riesgo
Actúa en las Amenazas
Actúa en las Amenazas
Instancia en que es
expuesto a perdidas debido al Agente de Amenaza
Amenazas, vulnerabilidades & riesgos
8
Análisis de Riesgo
• Método para identificar riesgos y evaluar el daño posible que podría ser causado para justificar medidas de seguridad
• Usado para afianzar el hecho que la seguridad tiene un costo apropiado, relevante, oportuno y que responde a las amenazas
• Puede ser cuantitativo o cualitativo
– Cuantitativo asgina valores de probabilidad a amenazas específicas y calcula las expectativas anuales de pérdidas
– Cualitativo asigna valores a amenazas específicas basado en la información de expertos en la materia dentro de la organización
9
Sistemas de Control de Acceso
Qué significa un Sistema de Control de Acceso para Ud. ?
• Controles de Acceso al Sistema de Archivos
– Derechos sobre el sistema de archivos
• Controles de Acceso a la Red– Tecnologías de VPN y Firewalls
• Controles de Acceso a las Aplicaciones– Uso tradicional de directorios,
Roles en las Bases de Datos, Portales
• Controles de Acceso Físico– Lectores de Tarjetas, Proximity cards
10
Componentes de un Sistema de Control de Acceso
Los Sistemas de Control de Acceso se focalizan en proveer:
• Identificación – Habilidad del consumidor para aseverar su identidad
• Autenticación – Habilidad para validar la aseveración de Identificación
– Lo que sabes (i.e. Password)– Lo que tienes (i.e. Smartcard, token, badge)– Lo que eres (i.e. Biometría)
• Autorización – Habilidad para determinar derechos, roles y privilegios específicos a la identidad autenticada
11
Ejemplos de soluciones de Control de Acceso
Tres soluciones de control de acceso:
• Identity Management– Provisionamiento automatizado– Almacén de Indentidades centralizado– Sincronización de identidad
• Single Sign-on– Identidad universal– Redirección de autenticación/autorización– Administración/sincronización de password
• Portales/Seguridad perimetral– Web protection
12
Componentes de un Sistema de Control de Acceso
Consolidación deAutenticación
SeguridadDe Red
Perimetral
IdentityManagement
Almacén deIdentidades
13
Cómo puede proveer valor un Identity Vault ?
• Administración de identidad en forma centralizada
• Muchas aplicaciones comparten la misma data y funcionalidad
• Provee los fundamentos para la personalización
• Provee las bases para el control de acceso
14
Identity vault: La clave en un Sistema de Administración de Acceso
Sistema de Help Desk
Sistema de E-Mail
Sistema de RRHH
File & Print
PBX
IdentityVault
15
Cómo se “mapea” el Identity Vault al CBK ?• Sistemas y metodologías para el control de acceso
• Seguridad de las telecomunicaciones y redes
• Prácticas de administración de seguridad
• Seguridad en el desarrollo de aplicaciones y sistemas
• Criptografía
• Arquitectura y modelos de seguridad
• Seguridad de las operaciones
• Planeamiento de continuídad de los negocios
• Leyes, investigación y ética
• Seguridad física
16
Nombres Propios-Identity Vault
•eDirectory•OpenLDAP•SUN One Directory Server•Oracle Internet Directory•IBM Secureway
17
Cómo se puede consolidar la autenticación?
Seguridad de Identidad / Credencial– Metadirectorios– Integración de Sistemas Operativos– Password Management usando Single Signon
Reforzamiento de la Autenticación – Redirección LDAP– Autenticación por Múltiples Factores– Interfaces JDBC, ADSI etc…
18
Identidades Integradas
RRHH ERP
PBX
DirectorioCorreo
Sistema Operativo
Base de Datos Metadirectorio
19
Sistemas que se requiere conectar
• Active Directory
• eDirectory• NT Domains• NIS• Exchange• GroupWise• Notes• LDAP• Text• JDBC• PeopleSoft• SAP HR• Websphere
MQ• SIF
• Firewall-1• VPN-1• Netegrity• SecureLogin• SunOne• iPlanet• Secureway• Critical Path• OID• DirX• Oracle• Sybase• MySQL• MSSQL
• DB2• Informix• NIS +• /etc/passwd• AIX• Red Hat• SuSE• Solaris• Debian• x.500• Banner• Oracle HR• Cisco VoIP• RSA ACE
• Radius• Oracle
Financials• RACF• ACF/2• HP UX• Tibco• WebLogic• JD Edwards• Policy
Director• eTrust• DSML
20
Integración de Sistemas Operativos
Cuentas
VMS
HP-UX
AIX
MVSRACF, ACF2, Top Secret
Linux
Free-BSD
NDSAD
NT Domains
Solarisen Sparc & Intel
Tru64
SincronizadorDe Gestión De Cuentas
Directorio
21
Por qué Single Signones considerado acceso administrado?
Password Management típico basado en el cliente es:
• Completamente basado en el cliente• Almacenado en sistemas de archivos no seguros• No escala para usuarios móviles• No hay administración centralizada
Single Signon es:• Completamente basado en directorios• Almacenado en un directorio LDAP seguro• Permite el “roaming” a cualquier PC• Administrado centralizadamente a través del
Directorio• El no puede vulnerar el “secret store” de las
credenciales, pero, si puede revocar el acceso
22
Experiencia de login—Después de Single Signon
Estación de trabajoEstación de trabajo
Activa aplicación
Solicita credenciale
s
Provee credenciales
Autenticación al
Directorio
DirectorioDirectorioServidor de Servidor de la Aplicaciónla Aplicación
Petición de Secreto
Recibe Secreto
(ID/PSWD)
Login ID:
Password:
Inicia aplicación
23
Autenticación Tradicional
Aplicación Win32
Aplicación Web
Aplicación Oracle Aplicación de RRHH
Aplicación de Planillas
Aplicación Web
API de la AplicaciónAPI de la Aplicación A
PI de la A
plic
aci
ón
API
de
la A
plic
ació
n
API d
e la
Apl
icació
n
API de la Aplicación
UserID = JanePassword =
Pizza
UserID = JanePassword =
Pizza
UserID = JanePassword =
Pizza
UserID = JanePassword =
Pizza
UserID = JanePassword =
Pizza
UserID = JanePassword =
Pizza
24
Autenticación Consolidada
Directorio en LinuxUserID = JanePassword = Pespi&Coke
Aplicación Win32
Aplicación Web
Aplicación Oracle Aplicación de RRHH
Aplicación de Planillas
Aplicación Web
UserID = JanePassword =
Pizza
UserID = JanePassword =
Pizza
UserID = JanePassword =
Pizza
UserID = JanePassword =
Pizza
UserID = JanePassword =
Pizza
UserID = JanePassword =
Pizza
Usa API Standard (LDAP p.e.) Autenticación al Directorio
25
Autenticación y Autorización por Múltiples Factores
DirectorioDirectorio
26
Cómo la autenticación consolidada “mapea” el CBK ?
• Sistemas y metodologías para el control de acceso
• Seguridad de las telecomunicaciones y redes
• Prácticas de administración de seguridad
• Seguridad en el desarrollo de aplicaciones y sistemas
• Criptografía
• Arquitectura y modelos de seguridad
• Seguridad de las operaciones
• Planeamiento de continuídad de los negocios
• Leyes, investigación y ética
• Seguridad física
27
Nombres Propios-Autenticación Consolidada
•Novell• Nsure Identity Manager (DirXML-Novell Account
Management-SecureLogin y otros)
•Computer Associates
•IBM• Tivoli Identity Manager-Tivoli Access Manager
•BMC• No IdM sino eProvisioning : Control-SA
28
Seguridad Perimetral típica en las redes de hoy
Servidores Web y Aplicaciones
ERP
CRM
LHowarth - xxx
7748-zzz
HowarthL - yyy
Extranet
WatG - yyy
7366 - zzz
Internet
Empleado
Intranet
2298- zzz
HalesMY - yyyMYHales
Firewall
Cliente
Partner
Seguri
dad
Seguri
dad
Seguri
dad
29
2. Control de Acceso- A qué necesita acceso?
Web Protection – ¿Cómo trabaja?
Browser
Proxy Server-Linux
Directorio
Servidores Web y de aplicación
Secu
rit
y
User=xx Password=xx
Preferencias=Suspenso, Horror
1. Autenticación- ¿Quién es usted?
3. Single Signon4. OLAC (Personalización)5. Confidencialidad de Datos
ACL
ACL
30
Los portales están considerados en la seguridad perimetral ?
Alguna vez pensó en los problemas de seguridad que una solución de portal crea?
Antes del portal:– Acceso de los usuarios a los recursos internos desde
fuera del firewall es limitado– La administración del firewall es sencilla
Después del portal:– Acceso de los usuarios a los recursos internos desde
fuera del firewall esta en constante expansión– Las excepciones en el firewall deben ser manejadas
para cada recurso que es requerido desde fuera del firewall
31
Flujo de tráfico con algunas soluciones de portal
DMZ
Servidor del Portal
Browser
FirewallExterno
Directorio
PeopleSoft Portal
Webserver
Exchange 2000 Webserver
FirewallInterno
32
Flujo de Tráfico con Web Protection
DMZ
Web Protection
Browser
FirewallExterno
Directorio
PeopleSoft Portal
Webserver
Exchange 2000 Webserver
FirewallInterno
Servidor del Portal
33
Cómo se “mapea” la seguridad perimetral al CBK ?
• Sistemas y metodologías para el control de acceso
• Seguridad de las telecomunicaciones y redes
• Prácticas de administración de seguridad
• Seguridad en el desarrollo de aplicaciones y sistemas
• Criptografía
• Arquitectura y modelos de seguridad
• Seguridad de las operaciones
• Planeamiento de continuídad de los negocios
• Leyes, investigación y ética
• Seguridad física
34
Nombre Propios-Seguridad Perimetral
•Mara Systems• eMara
•Open Source & Free Software• Squid-IPTables-Apache-OpenSSL-OpenLDAP
•Novell• iChain
35
CBK sin y con controles
Controles Lógicos
Controles Administrativos
Controles Físicos
• Sistemas y metodologías para el control de acceso
• Seguridad de las telecomunicaciones y redes
• Prácticas de administración de seguridad
• Seguridad en el desarrollo de aplicaciones y sistemas
• Criptografía
• Arquitectura y modelos de serguridad
• Seguridad de las operaciones
• Planeamiento de continuídad de los negocios
• Leyes, investigación y ética
• Seguridad física
36
Arquitectura Básica de Auditoría
PA
PA
PA
Reportes
Monitores
Aplicaciones Auditadas
Cole
cto
r de E
ven
tos
Módulos de Almacén
Notificatciones
GeneradorDe
Reportes
Monitoreo
Servidor de Logeo Seguro
Almacén
FLAT FILE
SQL
...
Email SNMP SYSLOG CVR* Base de Datos Java
Notificaciones
Agente de Plataforma
Directorio
PA
Preguntas & Respuestas
Top Related