seguridad de la información en linux – iso 17799 walter cuestas arquitecto de seguridad de la...
TRANSCRIPT
![Page 1: Seguridad de la Información en Linux – ISO 17799 Walter Cuestas Arquitecto de Seguridad de la Información Miembro colaborador de Linux Professional Institute](https://reader036.vdocuments.net/reader036/viewer/2022062418/5528bde8497959977d8fdd0c/html5/thumbnails/1.jpg)
Seguridad de la Información en Linux – ISO 17799
Walter CuestasArquitecto de Seguridad de la InformaciónMiembro colaborador de Linux Professional [email protected]
![Page 2: Seguridad de la Información en Linux – ISO 17799 Walter Cuestas Arquitecto de Seguridad de la Información Miembro colaborador de Linux Professional Institute](https://reader036.vdocuments.net/reader036/viewer/2022062418/5528bde8497959977d8fdd0c/html5/thumbnails/2.jpg)
2
Agenda
• Overview de la arquitectura de seguridad standard de la industria
• Definiciones de terminología standard en la industria
• ISO 17799 y Common Body of Knowledge (CBK)
• Análisis de Riesgo• Sistemas de Control de Accesso• Almacén de Identidades• Autenticación Consolidada• Seguridad Perimetral
![Page 3: Seguridad de la Información en Linux – ISO 17799 Walter Cuestas Arquitecto de Seguridad de la Información Miembro colaborador de Linux Professional Institute](https://reader036.vdocuments.net/reader036/viewer/2022062418/5528bde8497959977d8fdd0c/html5/thumbnails/3.jpg)
3
CIA
Confidencialidad
Availability(Disponibilidad)
Integridad
Describe el balance entre Seguridad & funcionalidad del Usuario
![Page 4: Seguridad de la Información en Linux – ISO 17799 Walter Cuestas Arquitecto de Seguridad de la Información Miembro colaborador de Linux Professional Institute](https://reader036.vdocuments.net/reader036/viewer/2022062418/5528bde8497959977d8fdd0c/html5/thumbnails/4.jpg)
5
Terminología Común
Política de Seguridad• Declaración “paraguas” producida por la Alta
Dirección para determinar que tipo de rol tendrá la seguridad dentro de la organización
• Impuesto a través de Standards, Procedimientos, Procesos definidos y Guías directrices
– Standards – Mecanismos de hardware & software y productos usados para imponer la política de seguridad
– Procesos – Método de implementación para mecanismos y productos de seguridad
– Guías directrices – Acciones recomendadas cuando los standard específicos no aplican
– Procedimientos – Instrucciones paso a paso detallando cómo implementar la política de seguridad
![Page 5: Seguridad de la Información en Linux – ISO 17799 Walter Cuestas Arquitecto de Seguridad de la Información Miembro colaborador de Linux Professional Institute](https://reader036.vdocuments.net/reader036/viewer/2022062418/5528bde8497959977d8fdd0c/html5/thumbnails/5.jpg)
6
ISC2 y Common Body of Knowledge (CBK) : ISO 17799
10 dominios de seguridad como los define ISO 17799 y desarrollados por Internet Information Systems Security Certification Consortium (ISC)2
• Sistemas y metodologías para el control de acceso
• Seguridad de las telecomunicaciones y redes• Prácticas de administración de seguridad• Seguridad en el desarrollo de aplicaciones y
sistemas• Criptografía• Arquitectura y modelos de seguridad• Seguridad de las operaciones• Planeamiento de continuídad del negocio• Leyes, investigaciones y ética• Seguridad física
![Page 6: Seguridad de la Información en Linux – ISO 17799 Walter Cuestas Arquitecto de Seguridad de la Información Miembro colaborador de Linux Professional Institute](https://reader036.vdocuments.net/reader036/viewer/2022062418/5528bde8497959977d8fdd0c/html5/thumbnails/6.jpg)
7
ExploitsDa
orígen a
Conducea
PuedeDañar
YCausar
un
Que generala aplicación de medidas de
Afectadirectamente
ActivoExposure
Agente de Amenaza
Amenaza
Vulnerabilidad
Protección
Debilidades que puedenproveer de accesono autorizado a
los recursos
Cualquier daño potencial a los sistemas de información
Probabilidad que un Agente de
Amenaza explote una vulnerabilidad
Riesgo
Actúa en las Amenazas
Actúa en las Amenazas
Instancia en que es
expuesto a perdidas debido al Agente de Amenaza
Amenazas, vulnerabilidades & riesgos
![Page 7: Seguridad de la Información en Linux – ISO 17799 Walter Cuestas Arquitecto de Seguridad de la Información Miembro colaborador de Linux Professional Institute](https://reader036.vdocuments.net/reader036/viewer/2022062418/5528bde8497959977d8fdd0c/html5/thumbnails/7.jpg)
8
Análisis de Riesgo
• Método para identificar riesgos y evaluar el daño posible que podría ser causado para justificar medidas de seguridad
• Usado para afianzar el hecho que la seguridad tiene un costo apropiado, relevante, oportuno y que responde a las amenazas
• Puede ser cuantitativo o cualitativo
– Cuantitativo asgina valores de probabilidad a amenazas específicas y calcula las expectativas anuales de pérdidas
– Cualitativo asigna valores a amenazas específicas basado en la información de expertos en la materia dentro de la organización
![Page 8: Seguridad de la Información en Linux – ISO 17799 Walter Cuestas Arquitecto de Seguridad de la Información Miembro colaborador de Linux Professional Institute](https://reader036.vdocuments.net/reader036/viewer/2022062418/5528bde8497959977d8fdd0c/html5/thumbnails/8.jpg)
9
Sistemas de Control de Acceso
Qué significa un Sistema de Control de Acceso para Ud. ?
• Controles de Acceso al Sistema de Archivos
– Derechos sobre el sistema de archivos
• Controles de Acceso a la Red– Tecnologías de VPN y Firewalls
• Controles de Acceso a las Aplicaciones– Uso tradicional de directorios,
Roles en las Bases de Datos, Portales
• Controles de Acceso Físico– Lectores de Tarjetas, Proximity cards
![Page 9: Seguridad de la Información en Linux – ISO 17799 Walter Cuestas Arquitecto de Seguridad de la Información Miembro colaborador de Linux Professional Institute](https://reader036.vdocuments.net/reader036/viewer/2022062418/5528bde8497959977d8fdd0c/html5/thumbnails/9.jpg)
10
Componentes de un Sistema de Control de Acceso
Los Sistemas de Control de Acceso se focalizan en proveer:
• Identificación – Habilidad del consumidor para aseverar su identidad
• Autenticación – Habilidad para validar la aseveración de Identificación
– Lo que sabes (i.e. Password)– Lo que tienes (i.e. Smartcard, token, badge)– Lo que eres (i.e. Biometría)
• Autorización – Habilidad para determinar derechos, roles y privilegios específicos a la identidad autenticada
![Page 10: Seguridad de la Información en Linux – ISO 17799 Walter Cuestas Arquitecto de Seguridad de la Información Miembro colaborador de Linux Professional Institute](https://reader036.vdocuments.net/reader036/viewer/2022062418/5528bde8497959977d8fdd0c/html5/thumbnails/10.jpg)
11
Ejemplos de soluciones de Control de Acceso
Tres soluciones de control de acceso:
• Identity Management– Provisionamiento automatizado– Almacén de Indentidades centralizado– Sincronización de identidad
• Single Sign-on– Identidad universal– Redirección de autenticación/autorización– Administración/sincronización de password
• Portales/Seguridad perimetral– Web protection
![Page 11: Seguridad de la Información en Linux – ISO 17799 Walter Cuestas Arquitecto de Seguridad de la Información Miembro colaborador de Linux Professional Institute](https://reader036.vdocuments.net/reader036/viewer/2022062418/5528bde8497959977d8fdd0c/html5/thumbnails/11.jpg)
12
Componentes de un Sistema de Control de Acceso
Consolidación deAutenticación
SeguridadDe Red
Perimetral
IdentityManagement
Almacén deIdentidades
![Page 12: Seguridad de la Información en Linux – ISO 17799 Walter Cuestas Arquitecto de Seguridad de la Información Miembro colaborador de Linux Professional Institute](https://reader036.vdocuments.net/reader036/viewer/2022062418/5528bde8497959977d8fdd0c/html5/thumbnails/12.jpg)
13
Cómo puede proveer valor un Identity Vault ?
• Administración de identidad en forma centralizada
• Muchas aplicaciones comparten la misma data y funcionalidad
• Provee los fundamentos para la personalización
• Provee las bases para el control de acceso
![Page 13: Seguridad de la Información en Linux – ISO 17799 Walter Cuestas Arquitecto de Seguridad de la Información Miembro colaborador de Linux Professional Institute](https://reader036.vdocuments.net/reader036/viewer/2022062418/5528bde8497959977d8fdd0c/html5/thumbnails/13.jpg)
14
Identity vault: La clave en un Sistema de Administración de Acceso
Sistema de Help Desk
Sistema de E-Mail
Sistema de RRHH
File & Print
PBX
IdentityVault
![Page 14: Seguridad de la Información en Linux – ISO 17799 Walter Cuestas Arquitecto de Seguridad de la Información Miembro colaborador de Linux Professional Institute](https://reader036.vdocuments.net/reader036/viewer/2022062418/5528bde8497959977d8fdd0c/html5/thumbnails/14.jpg)
15
Cómo se “mapea” el Identity Vault al CBK ?• Sistemas y metodologías para el control de acceso
• Seguridad de las telecomunicaciones y redes
• Prácticas de administración de seguridad
• Seguridad en el desarrollo de aplicaciones y sistemas
• Criptografía
• Arquitectura y modelos de seguridad
• Seguridad de las operaciones
• Planeamiento de continuídad de los negocios
• Leyes, investigación y ética
• Seguridad física
![Page 15: Seguridad de la Información en Linux – ISO 17799 Walter Cuestas Arquitecto de Seguridad de la Información Miembro colaborador de Linux Professional Institute](https://reader036.vdocuments.net/reader036/viewer/2022062418/5528bde8497959977d8fdd0c/html5/thumbnails/15.jpg)
16
Nombres Propios-Identity Vault
•eDirectory•OpenLDAP•SUN One Directory Server•Oracle Internet Directory•IBM Secureway
![Page 16: Seguridad de la Información en Linux – ISO 17799 Walter Cuestas Arquitecto de Seguridad de la Información Miembro colaborador de Linux Professional Institute](https://reader036.vdocuments.net/reader036/viewer/2022062418/5528bde8497959977d8fdd0c/html5/thumbnails/16.jpg)
17
Cómo se puede consolidar la autenticación?
Seguridad de Identidad / Credencial– Metadirectorios– Integración de Sistemas Operativos– Password Management usando Single Signon
Reforzamiento de la Autenticación – Redirección LDAP– Autenticación por Múltiples Factores– Interfaces JDBC, ADSI etc…
![Page 17: Seguridad de la Información en Linux – ISO 17799 Walter Cuestas Arquitecto de Seguridad de la Información Miembro colaborador de Linux Professional Institute](https://reader036.vdocuments.net/reader036/viewer/2022062418/5528bde8497959977d8fdd0c/html5/thumbnails/17.jpg)
18
Identidades Integradas
RRHH ERP
PBX
DirectorioCorreo
Sistema Operativo
Base de Datos Metadirectorio
![Page 18: Seguridad de la Información en Linux – ISO 17799 Walter Cuestas Arquitecto de Seguridad de la Información Miembro colaborador de Linux Professional Institute](https://reader036.vdocuments.net/reader036/viewer/2022062418/5528bde8497959977d8fdd0c/html5/thumbnails/18.jpg)
19
Sistemas que se requiere conectar
• Active Directory
• eDirectory• NT Domains• NIS• Exchange• GroupWise• Notes• LDAP• Text• JDBC• PeopleSoft• SAP HR• Websphere
MQ• SIF
• Firewall-1• VPN-1• Netegrity• SecureLogin• SunOne• iPlanet• Secureway• Critical Path• OID• DirX• Oracle• Sybase• MySQL• MSSQL
• DB2• Informix• NIS +• /etc/passwd• AIX• Red Hat• SuSE• Solaris• Debian• x.500• Banner• Oracle HR• Cisco VoIP• RSA ACE
• Radius• Oracle
Financials• RACF• ACF/2• HP UX• Tibco• WebLogic• JD Edwards• Policy
Director• eTrust• DSML
![Page 19: Seguridad de la Información en Linux – ISO 17799 Walter Cuestas Arquitecto de Seguridad de la Información Miembro colaborador de Linux Professional Institute](https://reader036.vdocuments.net/reader036/viewer/2022062418/5528bde8497959977d8fdd0c/html5/thumbnails/19.jpg)
20
Integración de Sistemas Operativos
Cuentas
VMS
HP-UX
AIX
MVSRACF, ACF2, Top Secret
Linux
Free-BSD
NDSAD
NT Domains
Solarisen Sparc & Intel
Tru64
SincronizadorDe Gestión De Cuentas
Directorio
![Page 20: Seguridad de la Información en Linux – ISO 17799 Walter Cuestas Arquitecto de Seguridad de la Información Miembro colaborador de Linux Professional Institute](https://reader036.vdocuments.net/reader036/viewer/2022062418/5528bde8497959977d8fdd0c/html5/thumbnails/20.jpg)
21
Por qué Single Signones considerado acceso administrado?
Password Management típico basado en el cliente es:
• Completamente basado en el cliente• Almacenado en sistemas de archivos no seguros• No escala para usuarios móviles• No hay administración centralizada
Single Signon es:• Completamente basado en directorios• Almacenado en un directorio LDAP seguro• Permite el “roaming” a cualquier PC• Administrado centralizadamente a través del
Directorio• El no puede vulnerar el “secret store” de las
credenciales, pero, si puede revocar el acceso
![Page 21: Seguridad de la Información en Linux – ISO 17799 Walter Cuestas Arquitecto de Seguridad de la Información Miembro colaborador de Linux Professional Institute](https://reader036.vdocuments.net/reader036/viewer/2022062418/5528bde8497959977d8fdd0c/html5/thumbnails/21.jpg)
22
Experiencia de login—Después de Single Signon
Estación de trabajoEstación de trabajo
Activa aplicación
Solicita credenciale
s
Provee credenciales
Autenticación al
Directorio
DirectorioDirectorioServidor de Servidor de la Aplicaciónla Aplicación
Petición de Secreto
Recibe Secreto
(ID/PSWD)
Login ID:
Password:
Inicia aplicación
![Page 22: Seguridad de la Información en Linux – ISO 17799 Walter Cuestas Arquitecto de Seguridad de la Información Miembro colaborador de Linux Professional Institute](https://reader036.vdocuments.net/reader036/viewer/2022062418/5528bde8497959977d8fdd0c/html5/thumbnails/22.jpg)
23
Autenticación Tradicional
Aplicación Win32
Aplicación Web
Aplicación Oracle Aplicación de RRHH
Aplicación de Planillas
Aplicación Web
API de la AplicaciónAPI de la Aplicación A
PI de la A
plic
aci
ón
API
de
la A
plic
ació
n
API d
e la
Apl
icació
n
API de la Aplicación
UserID = JanePassword =
Pizza
UserID = JanePassword =
Pizza
UserID = JanePassword =
Pizza
UserID = JanePassword =
Pizza
UserID = JanePassword =
Pizza
UserID = JanePassword =
Pizza
![Page 23: Seguridad de la Información en Linux – ISO 17799 Walter Cuestas Arquitecto de Seguridad de la Información Miembro colaborador de Linux Professional Institute](https://reader036.vdocuments.net/reader036/viewer/2022062418/5528bde8497959977d8fdd0c/html5/thumbnails/23.jpg)
24
Autenticación Consolidada
Directorio en LinuxUserID = JanePassword = Pespi&Coke
Aplicación Win32
Aplicación Web
Aplicación Oracle Aplicación de RRHH
Aplicación de Planillas
Aplicación Web
UserID = JanePassword =
Pizza
UserID = JanePassword =
Pizza
UserID = JanePassword =
Pizza
UserID = JanePassword =
Pizza
UserID = JanePassword =
Pizza
UserID = JanePassword =
Pizza
Usa API Standard (LDAP p.e.) Autenticación al Directorio
![Page 24: Seguridad de la Información en Linux – ISO 17799 Walter Cuestas Arquitecto de Seguridad de la Información Miembro colaborador de Linux Professional Institute](https://reader036.vdocuments.net/reader036/viewer/2022062418/5528bde8497959977d8fdd0c/html5/thumbnails/24.jpg)
25
Autenticación y Autorización por Múltiples Factores
DirectorioDirectorio
![Page 25: Seguridad de la Información en Linux – ISO 17799 Walter Cuestas Arquitecto de Seguridad de la Información Miembro colaborador de Linux Professional Institute](https://reader036.vdocuments.net/reader036/viewer/2022062418/5528bde8497959977d8fdd0c/html5/thumbnails/25.jpg)
26
Cómo la autenticación consolidada “mapea” el CBK ?
• Sistemas y metodologías para el control de acceso
• Seguridad de las telecomunicaciones y redes
• Prácticas de administración de seguridad
• Seguridad en el desarrollo de aplicaciones y sistemas
• Criptografía
• Arquitectura y modelos de seguridad
• Seguridad de las operaciones
• Planeamiento de continuídad de los negocios
• Leyes, investigación y ética
• Seguridad física
![Page 26: Seguridad de la Información en Linux – ISO 17799 Walter Cuestas Arquitecto de Seguridad de la Información Miembro colaborador de Linux Professional Institute](https://reader036.vdocuments.net/reader036/viewer/2022062418/5528bde8497959977d8fdd0c/html5/thumbnails/26.jpg)
27
Nombres Propios-Autenticación Consolidada
•Novell• Nsure Identity Manager (DirXML-Novell Account
Management-SecureLogin y otros)
•Computer Associates
•IBM• Tivoli Identity Manager-Tivoli Access Manager
•BMC• No IdM sino eProvisioning : Control-SA
![Page 27: Seguridad de la Información en Linux – ISO 17799 Walter Cuestas Arquitecto de Seguridad de la Información Miembro colaborador de Linux Professional Institute](https://reader036.vdocuments.net/reader036/viewer/2022062418/5528bde8497959977d8fdd0c/html5/thumbnails/27.jpg)
28
Seguridad Perimetral típica en las redes de hoy
Servidores Web y Aplicaciones
ERP
CRM
LHowarth - xxx
7748-zzz
HowarthL - yyy
Extranet
WatG - yyy
7366 - zzz
Internet
Empleado
Intranet
2298- zzz
HalesMY - yyyMYHales
Firewall
Cliente
Partner
Seguri
dad
Seguri
dad
Seguri
dad
![Page 28: Seguridad de la Información en Linux – ISO 17799 Walter Cuestas Arquitecto de Seguridad de la Información Miembro colaborador de Linux Professional Institute](https://reader036.vdocuments.net/reader036/viewer/2022062418/5528bde8497959977d8fdd0c/html5/thumbnails/28.jpg)
29
2. Control de Acceso- A qué necesita acceso?
Web Protection – ¿Cómo trabaja?
Browser
Proxy Server-Linux
Directorio
Servidores Web y de aplicación
Secu
rit
y
User=xx Password=xx
Preferencias=Suspenso, Horror
1. Autenticación- ¿Quién es usted?
3. Single Signon4. OLAC (Personalización)5. Confidencialidad de Datos
ACL
ACL
![Page 29: Seguridad de la Información en Linux – ISO 17799 Walter Cuestas Arquitecto de Seguridad de la Información Miembro colaborador de Linux Professional Institute](https://reader036.vdocuments.net/reader036/viewer/2022062418/5528bde8497959977d8fdd0c/html5/thumbnails/29.jpg)
30
Los portales están considerados en la seguridad perimetral ?
Alguna vez pensó en los problemas de seguridad que una solución de portal crea?
Antes del portal:– Acceso de los usuarios a los recursos internos desde
fuera del firewall es limitado– La administración del firewall es sencilla
Después del portal:– Acceso de los usuarios a los recursos internos desde
fuera del firewall esta en constante expansión– Las excepciones en el firewall deben ser manejadas
para cada recurso que es requerido desde fuera del firewall
![Page 30: Seguridad de la Información en Linux – ISO 17799 Walter Cuestas Arquitecto de Seguridad de la Información Miembro colaborador de Linux Professional Institute](https://reader036.vdocuments.net/reader036/viewer/2022062418/5528bde8497959977d8fdd0c/html5/thumbnails/30.jpg)
31
Flujo de tráfico con algunas soluciones de portal
DMZ
Servidor del Portal
Browser
FirewallExterno
Directorio
PeopleSoft Portal
Webserver
Exchange 2000 Webserver
FirewallInterno
![Page 31: Seguridad de la Información en Linux – ISO 17799 Walter Cuestas Arquitecto de Seguridad de la Información Miembro colaborador de Linux Professional Institute](https://reader036.vdocuments.net/reader036/viewer/2022062418/5528bde8497959977d8fdd0c/html5/thumbnails/31.jpg)
32
Flujo de Tráfico con Web Protection
DMZ
Web Protection
Browser
FirewallExterno
Directorio
PeopleSoft Portal
Webserver
Exchange 2000 Webserver
FirewallInterno
Servidor del Portal
![Page 32: Seguridad de la Información en Linux – ISO 17799 Walter Cuestas Arquitecto de Seguridad de la Información Miembro colaborador de Linux Professional Institute](https://reader036.vdocuments.net/reader036/viewer/2022062418/5528bde8497959977d8fdd0c/html5/thumbnails/32.jpg)
33
Cómo se “mapea” la seguridad perimetral al CBK ?
• Sistemas y metodologías para el control de acceso
• Seguridad de las telecomunicaciones y redes
• Prácticas de administración de seguridad
• Seguridad en el desarrollo de aplicaciones y sistemas
• Criptografía
• Arquitectura y modelos de seguridad
• Seguridad de las operaciones
• Planeamiento de continuídad de los negocios
• Leyes, investigación y ética
• Seguridad física
![Page 33: Seguridad de la Información en Linux – ISO 17799 Walter Cuestas Arquitecto de Seguridad de la Información Miembro colaborador de Linux Professional Institute](https://reader036.vdocuments.net/reader036/viewer/2022062418/5528bde8497959977d8fdd0c/html5/thumbnails/33.jpg)
34
Nombre Propios-Seguridad Perimetral
•Mara Systems• eMara
•Open Source & Free Software• Squid-IPTables-Apache-OpenSSL-OpenLDAP
•Novell• iChain
![Page 34: Seguridad de la Información en Linux – ISO 17799 Walter Cuestas Arquitecto de Seguridad de la Información Miembro colaborador de Linux Professional Institute](https://reader036.vdocuments.net/reader036/viewer/2022062418/5528bde8497959977d8fdd0c/html5/thumbnails/34.jpg)
35
CBK sin y con controles
Controles Lógicos
Controles Administrativos
Controles Físicos
• Sistemas y metodologías para el control de acceso
• Seguridad de las telecomunicaciones y redes
• Prácticas de administración de seguridad
• Seguridad en el desarrollo de aplicaciones y sistemas
• Criptografía
• Arquitectura y modelos de serguridad
• Seguridad de las operaciones
• Planeamiento de continuídad de los negocios
• Leyes, investigación y ética
• Seguridad física
![Page 35: Seguridad de la Información en Linux – ISO 17799 Walter Cuestas Arquitecto de Seguridad de la Información Miembro colaborador de Linux Professional Institute](https://reader036.vdocuments.net/reader036/viewer/2022062418/5528bde8497959977d8fdd0c/html5/thumbnails/35.jpg)
36
Arquitectura Básica de Auditoría
PA
PA
PA
Reportes
Monitores
Aplicaciones Auditadas
Cole
cto
r de E
ven
tos
Módulos de Almacén
Notificatciones
GeneradorDe
Reportes
Monitoreo
Servidor de Logeo Seguro
Almacén
FLAT FILE
SQL
...
Email SNMP SYSLOG CVR* Base de Datos Java
Notificaciones
Agente de Plataforma
Directorio
PA
![Page 36: Seguridad de la Información en Linux – ISO 17799 Walter Cuestas Arquitecto de Seguridad de la Información Miembro colaborador de Linux Professional Institute](https://reader036.vdocuments.net/reader036/viewer/2022062418/5528bde8497959977d8fdd0c/html5/thumbnails/36.jpg)
Preguntas & Respuestas