Este documento habla sobre la seguridad perimetral en redes GNU/Linux. Explica conceptos clave como cortafuegos, sistemas de detección de intrusiones, redes privadas virtuales y zonas desmilitarizadas. También describe las herramientas de software libre disponibles para establecer una seguridad perimetral efectiva, como iptables, Snort y OpenVPN. El objetivo es proteger los recursos de una red interna manteniendo a los intrusos fuera mientras se permite que los usuarios internos trabajen de forma normal.
1. Seguridad Perimetral en Redes GNU/Linux
Esteban Saavedra L´pez, Ph.D
o
CEO Opentelematics Internacional Bolivia
jesaavedra@opentelematics.org
http://jesaavedra.opentelematics.org
http://esteban.profesionales.org
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 1 / 46
2. Agenda
Introducci´n
o
Definiciones
Elementos
Escenarios
El software Libre al rescate
Demo
Conclusiones
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 2 / 46
3. La seguridad Informatica
Se dice que lo es todo, cuando la comprendemos y la podemos controlar,
y se dice que es nada cuando la desconocemos y obviamente no la
podemos controlar.
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 3 / 46
4. Qu´ es seguridad de la informaci´n?
e o
Evaluar expectativas y
amenazas en un contexto
Alcanzar seguridad deseada
Mantener nivel de seguridad
Proceso iterativo y continuo
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 4 / 46
5. Seguridad
Que es....
La seguridad no es un producto, es un proceso
Bruce Schneier
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 5 / 46
6. Que dicen los expertos....
Kevin Mitnick
La gente no est´ preparada contra el enga˜o a trav´s de la tecnolog´
a n e ıa
Tambien se dice:
Una cadena es tan fuerte como su eslab´n m´s d´bil
o a e
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 6 / 46
7. Defensa en profundidad (Defense in Depth)
La seguridad perimetral
La red interna
El factor humano
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 7 / 46
8. La seguridad perimetral
Filtrado de paquetes (Firewalls, proxys, pasarelas)
Sistema de Detecci´n y Prevenci´n de Intrusiones
o o
Redes Privadas Virtuales
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 8 / 46
9. La red interna
Cortafuegos personales
Antivirus
Sistema operativo y gesti´n de configuraci´n
o o
Auditor´
ıa
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 9 / 46
10. El factor humano
Pol´
ıtica de seguridad
Formaci´n
o
Concienciaci´n
o
Gesti´n de incidentes
o
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 10 / 46
11. La seguridad perimetral
Definici´n
o
Agregado de hardware, software y pol´ ıticas para proteger una red en la
que se tiene confianza (intranet) de otras redes en las que no se tiene
confianza (extranets, Internet)
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 11 / 46
12. Objetivo
Centralizar el control de acceso para mantener a los intrusos fuera,
permitiendo que la gente de dentro trabaje normalmente.
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 12 / 46
13. Seguridad perimetral
La seguridad perimetral
No es un componente aislado: es una estrategia para proteger los
recursos de una organizaci´n conectada a la red
o
Es la realizaci´n pr´ctica de la pol´
o a ıtica de seguridad de una
organizaci´n. Sin una pol´
o ıtica de seguridad, la seguridad perimetral
no sirve de nada
Condiciona la credibilidad de una organizaci´n en Internet
o
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 13 / 46
14. Ejemplos de cometidos de la seguridad perimetral
Rechazar conexiones a servicios comprometidos
Permitir s´lo ciertos tipos de tr´fico (p. ej. correo electr´nico) o
o a o
entre ciertos nodos.
Proporcionar un unico punto de interconexi´n con el exterior
´ o
Redirigir el tr´fico entrante a los sistemas adecuados dentro de la
a
intranet
Ocultar sistemas o servicios vulnerables que no son f´ciles de
a
proteger desde Internet
Auditar el tr´fico entre el exterior y el interior
a
Ocultar informaci´n: nombres de sistemas, topolog´ de la red, tipos
o ıa
de dispositivos de red, cuentas de usuarios internos...
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 14 / 46
15. Definiciones B´sicas
a
Per´
ımetro
La frontera fortificada de nuestra red incluye:
Routers
Cortafuegos
Sistemas de Detecci´n de Intrusiones
o
Redes Privadas Virtuales
Software y servicios
Zonas desmilitarizadas y subredes controladas (screened subnets)
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 15 / 46
16. Definiciones B´sicas
a
Router frontera
El ultimo router que controlamos antes de Internet. Primera y ultima
´ ´
l´
ınea de defensa. Filtrado inicial y final.
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 16 / 46
17. Definiciones B´sicas
a
Cortafuegos
Dispositivo que tiene un conjunto de reglas para especificar qu´ trafico
e
se acepta o se deniega. Dos procedimientos complementarios:
Bloqueo de tr´fico
a
Habilitaci´n de tr´fico
o a
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 17 / 46
18. Definiciones B´sicas
a
Sistema de Detecci´n de Intrusiones
o
Sistema formado por un conjunto de sensores localizados
estrat´gicamente en la red interna para detectar ataques. Se basan en
e
firmas (signatures) conocidas de ataques. Dos tipos
Sistema de detecci´n de intrusiones de red (NIDS)
o
Sistema de detecci´n de intrusiones de estaci´n (HIDS)
o o
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 18 / 46
19. Definiciones B´sicas
a
Red Privada Virtual
Sesi´n de red protegida establecida a trav´s de canales no protegidos
o e
(e.g. Internet). Se materializa en dispositivos en el per´
ımetro para
establecer sesiones cifradas.
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 19 / 46
20. Definiciones B´sicas
a
Arquitectura Software y Servicios
Aplicaciones instaladas en una red interna. El prop´sito principal de la
o
seguridad perimetral es proteger los datos y servicios proporcionados por
las aplicaciones.
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 20 / 46
21. Definiciones B´sicas
a
Zona desmilitarizada y subred controlada
Peque˜as porciones de la red con servicios accesibles desde el exterior.
n
Zona desmilitarizada: Situada delante del cortafuegos, tras el router
frontera.
Red controlada: Situada tras el cortafuegos
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 21 / 46
22. La seguridad perimetral a detalle
Filtrado de paquetes
Est´tico.
a
Din´mico.
a
Con estado:
Stateful Filtering.
Y con inspecci´n de paquetes (Stateful Packet Inspecci´n).
o o
Cortafuegos basado en proxys:
Pasarela a nivel de aplicaci´n.
o
Pasarela a nivel de circuito.
Sistema contra Intrusiones
Detecci´n.
o
Prevenci´n.
o
Redes Privadas Virtuales
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 22 / 46
24. Estructura del perimetro
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 24 / 46
25. Estructura de un firewall
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 25 / 46
26. Funciones de una firewall
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 26 / 46
27. Que es un proxy
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 27 / 46
28. Que es una VPN
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 28 / 46
29. Que es una DMZ
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 29 / 46
30. Estructura de una DMZ
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 30 / 46
31. Acciones y Actores
Acciones y Actores
Que debemos hacer, de qui´n debemos cuidarnos?
e
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 31 / 46
32. De que debemos cuidarnos
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 32 / 46
33. Los antivirus coadyuban a la seguridad perimetral
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 33 / 46
34. Tareas a realizar
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 34 / 46
35. Pasos a seguir
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 35 / 46
37. El Software Libre al rescate
El Software Libre al rescate
Por defecto, cualquier distribuci´n de GNU/Linux tiene la capacidad de
o
brindarnos una serie de herramientas, que nos permiten establecer una
perimetro de seguridad, desde lo mas simple a lo mas complejo.
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 37 / 46
38. Herramientas de Software Libre
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 38 / 46
39. Firewall (1)
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 39 / 46
40. Firewall (2)
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 40 / 46
41. Gesti´n y Monitoreo (1)
o
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 41 / 46
42. Gesti´n y Monitoreo (2)
o
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 42 / 46
45. Demostraci´n de Herramientas
o
Demostraci´n de Herramientas
o
Esteban Saavedra L´pez, Ph.D (Opentelematics)
o Seguridad Perimetral en Redes GNU/Linux Oct. 2008 45 / 46