Вы находитесь на странице: 1из 46

Seguridad Perimetral en Redes GNU/Linux

Esteban Saavedra L´opez, Ph.D

CEO Opentelematics Internacional Bolivia jesaavedra@opentelematics.org http://jesaavedra.opentelematics.org http://esteban.profesionales.org

Seguridad Perimetral en Redes GNU/Linux Esteban Saavedra L´opez, Ph.D CEO Opentelematics Internacional Bolivia jesaavedra@opentelematics.org http://jesaavedra.opentelematics.org http://esteban.profesionales.org

Esteban Saavedra L´opez, Ph.D (Opentelematics)

Seguridad Perimetral en Redes GNU/Linux Esteban Saavedra L´opez, Ph.D CEO Opentelematics Internacional Bolivia jesaavedra@opentelematics.org http://jesaavedra.opentelematics.org http://esteban.profesionales.org

Agenda

Introducci´on Definiciones Elementos Escenarios El software Libre al rescate Demo Conclusiones

Esteban Saavedra L´opez, Ph.D (Opentelematics)

Agenda Introducci´on Definiciones Elementos Escenarios El software Libre al rescate Demo Conclusiones Esteban Saavedra L´opez, Ph.D

La seguridad Informatica

Se dice que lo es todo, cuando la comprendemos y la podemos controlar, y se dice que es nada cuando la desconocemos y obviamente no la podemos controlar.

Esteban Saavedra L´opez, Ph.D (Opentelematics)

La seguridad Informatica Se dice que lo es todo , cuando la comprendemos y la podemos

Qu´e es seguridad de la informaci´on?

Evaluar expectativas y amenazas en un contexto

Alcanzar seguridad deseada Mantener nivel de seguridad Proceso iterativo y continuo

Qu´e es seguridad de la informaci´on? Evaluar expectativas y amenazas en un contexto Alcanzar seguridad deseada

Esteban Saavedra L´opez, Ph.D (Opentelematics)

Qu´e es seguridad de la informaci´on? Evaluar expectativas y amenazas en un contexto Alcanzar seguridad deseada

Seguridad

Que es ....

La seguridad no es un producto, es un proceso

Bruce

Schneier

Esteban Saavedra L´opez, Ph.D (Opentelematics)

Seguridad Que es .... La seguridad no es un producto, es un proceso Bruce Schneier Esteban

Que dicen los expertos ....

Kevin Mitnick

La gente no est´a preparada contra el enga˜no a trav´es de la tecnolog´ıa

Tambien se dice:

Una cadena es tan fuerte como su eslab´on m´as d´ebil

Esteban Saavedra L´opez, Ph.D (Opentelematics)

Que dicen los expertos .... Kevin Mitnick La gente no est´a preparada contra el enga˜no a

Defensa en profundidad (Defense in Depth)

La seguridad perimetral La red interna El factor humano

Esteban Saavedra L´opez, Ph.D (Opentelematics)

Defensa en profundidad (Defense in Depth) La seguridad perimetral La red interna El factor humano Esteban

La seguridad perimetral

Filtrado de paquetes (Firewalls, proxys, pasarelas) Sistema de Detecci´on y Prevenci´on de Intrusiones Redes Privadas Virtuales

Esteban Saavedra L´opez, Ph.D (Opentelematics)

La seguridad perimetral Filtrado de paquetes (Firewalls, proxys, pasarelas) Sistema de Detecci´on y Prevenci´on de Intrusiones

La red interna

Cortafuegos personales Antivirus Sistema operativo y gesti´on de configuraci´on Auditor´ıa

Esteban Saavedra L´opez, Ph.D (Opentelematics)

La red interna Cortafuegos personales Antivirus Sistema operativo y gesti´on de configuraci´on Auditor´ıa Esteban Saavedra L´opez,

El factor humano

Pol´ıtica de seguridad Formaci´on Concienciaci´on Gesti´on de incidentes

Esteban Saavedra L´opez, Ph.D (Opentelematics)

El factor humano Pol´ıtica de seguridad Formaci´on Concienciaci´on Gesti´on de incidentes Esteban Saavedra L´opez, Ph.D (Opentelematics)

La seguridad perimetral

Definici´on

Agregado de hardware, software y pol´ıticas para proteger una red en la que se tiene confianza (intranet) de otras redes en las que no se tiene confianza (extranets, Internet)

Esteban Saavedra L´opez, Ph.D (Opentelematics)

La seguridad perimetral Definici´on Agregado de hardware, software y pol´ıticas para proteger una red en la

Objetivo

Centralizar el control de acceso para mantener a los intrusos fuera, permitiendo que la gente de dentro trabaje normalmente.

Esteban Saavedra L´opez, Ph.D (Opentelematics)

Objetivo Centralizar el control de acceso para mantener a los intrusos fuera, permitiendo que la gente

Seguridad perimetral

La seguridad perimetral

No es un componente aislado: es una estrategia para proteger los recursos de una organizaci´on conectada a la red

Es la realizaci´on pr´actica de la pol´ıtica de seguridad de una organizaci´on. Sin una pol´ıtica de seguridad, la seguridad perimetral no sirve de nada

Condiciona la credibilidad de una organizaci´on en Internet

Esteban Saavedra L´opez, Ph.D (Opentelematics)

Seguridad perimetral La seguridad perimetral No es un componente aislado : es una estrategia para proteger

Ejemplos de cometidos de la seguridad perimetral

Rechazar conexiones a servicios comprometidos

Permitir s´olo ciertos tipos de tr´afico (p. ej. correo electr´onico) o

entre ciertos nodos.

Proporcionar un unico

´

punto de interconexi´on con el exterior

Redirigir el tr´afico entrante a los sistemas adecuados dentro de la

intranet

Ocultar sistemas o servicios vulnerables que no son f´aciles de

proteger desde Internet

Auditar el tr´afico entre el exterior y el interior

Ocultar informaci´on: nombres de sistemas, topolog´ıa de la red, tipos

de dispositivos de red, cuentas de usuarios internos ...

Esteban Saavedra L´opez, Ph.D (Opentelematics)

Ejemplos de cometidos de la seguridad perimetral Rechazar conexiones a servicios comprometidos Permitir s´olo ciertos tipos

Definiciones B´asicas

Per´ımetro

La frontera fortificada de nuestra red incluye:

Routers

Cortafuegos

Sistemas de Detecci´on de Intrusiones

Redes Privadas Virtuales

Software y servicios

Zonas desmilitarizadas y subredes controladas (screened subnets)

Esteban Saavedra L´opez, Ph.D (Opentelematics)

Definiciones B´asicas Per´ımetro La frontera fortificada de nuestra red incluye: Routers Cortafuegos Sistemas de Detecci´on de

Definiciones B´asicas

Router frontera

El ultimo

´

router que controlamos antes de Internet. Primera y ultima

´

l´ınea de defensa. Filtrado inicial y final.

Esteban Saavedra L´opez, Ph.D (Opentelematics)

Definiciones B´asicas Router frontera El ultimo ´ router que controlamos antes de Internet. Primera y ultima

Definiciones B´asicas

Cortafuegos

Dispositivo que tiene un conjunto de reglas para especificar qu´e trafico

se acepta o se deniega. Dos procedimientos complementarios:

Bloqueo de tr´afico

Habilitaci´on de tr´afico

Esteban Saavedra L´opez, Ph.D (Opentelematics)

Definiciones B´asicas Cortafuegos Dispositivo que tiene un conjunto de reglas para especificar qu´e trafico se acepta

Definiciones B´asicas

Sistema de Detecci´on de Intrusiones

Sistema formado por un conjunto de sensores localizados

estrat´egicamente en la red interna para detectar ataques. Se basan en

firmas (signatures) conocidas de ataques. Dos tipos

Sistema de detecci´on de intrusiones de red (NIDS)

Sistema de detecci´on de intrusiones de estaci´on (HIDS)

(Opentelematics)

Definiciones B´asicas Sistema de Detecci´on de Intrusiones Sistema formado por un conjunto de sensores localizados estrat´egicamente

Definiciones B´asicas

Red Privada Virtual

Sesi´on de red protegida establecida a trav´es de canales no protegidos

(e.g. Internet). Se materializa en dispositivos en el per´ımetro para

establecer sesiones cifradas.

Esteban Saavedra L´opez, Ph.D (Opentelematics)

Definiciones B´asicas Red Privada Virtual Sesi´on de red protegida establecida a trav´es de canales no protegidos

Definiciones B´asicas

Arquitectura Software y Servicios

Aplicaciones instaladas en una red interna. El prop´osito principal de la

seguridad perimetral es proteger los datos y servicios proporcionados por

las aplicaciones.

Esteban Saavedra L´opez, Ph.D (Opentelematics)

Definiciones B´asicas Arquitectura Software y Servicios Aplicaciones instaladas en una red interna. El prop´osito principal de

Definiciones B´asicas

Zona desmilitarizada y subred controlada

Peque˜nas porciones de la red con servicios accesibles desde el exterior.

Zona desmilitarizada: Situada delante del cortafuegos, tras el router

frontera.

Red controlada: Situada tras el cortafuegos

Esteban Saavedra L´opez, Ph.D (Opentelematics)

Definiciones B´asicas Zona desmilitarizada y subred controlada Peque˜nas porciones de la red con servicios accesibles desde

La seguridad perimetral a detalle

Filtrado de paquetes

Est´atico.

Din´amico.

Con estado:

Stateful Filtering. Y con inspecci´on de paquetes (Stateful Packet Inspecci´on).

Cortafuegos basado en proxys:

Pasarela a nivel de aplicaci´on. Pasarela a nivel de circuito.

Sistema contra Intrusiones

Detecci´on.

Prevenci´on.

Redes Privadas Virtuales

Esteban Saavedra L´opez, Ph.D (Opentelematics)

La seguridad perimetral a detalle Filtrado de paquetes Est´atico. Din´amico. Con estado: Stateful Filtering. Y con

Seguridad Perimetral

Seguridad Perimetral Esteban Saavedra L´opez, Ph.D (Opentelematics)

Esteban Saavedra L´opez, Ph.D (Opentelematics)

Estructura del perimetro

Estructura del perimetro Esteban Saavedra L´opez, Ph.D (Opentelematics)

Esteban Saavedra L´opez, Ph.D (Opentelematics)

Estructura del perimetro Esteban Saavedra L´opez, Ph.D (Opentelematics)

Estructura de un firewall

Estructura de un firewall Esteban Saavedra L´opez, Ph.D (Opentelematics)

Esteban Saavedra L´opez, Ph.D (Opentelematics)

Estructura de un firewall Esteban Saavedra L´opez, Ph.D (Opentelematics)

Funciones de una firewall

Funciones de una firewall Esteban Saavedra L´opez, Ph.D (Opentelematics)

Esteban Saavedra L´opez, Ph.D (Opentelematics)

Funciones de una firewall Esteban Saavedra L´opez, Ph.D (Opentelematics)

Que es un proxy

Esteban Saavedra L´opez, Ph.D (Opentelematics)

Que es un proxy Esteban Saavedra L´opez, Ph.D (Opentelematics)

Que es una VPN

Que es una VPN Esteban Saavedra L´opez, Ph.D (Opentelematics)

Esteban Saavedra L´opez, Ph.D (Opentelematics)

Que es una VPN Esteban Saavedra L´opez, Ph.D (Opentelematics)

Que es una DMZ

Que es una DMZ Esteban Saavedra L´opez, Ph.D (Opentelematics)

Esteban Saavedra L´opez, Ph.D (Opentelematics)

Estructura de una DMZ

Estructura de una DMZ Esteban Saavedra L´opez, Ph.D (Opentelematics)

Esteban Saavedra L´opez, Ph.D (Opentelematics)

Estructura de una DMZ Esteban Saavedra L´opez, Ph.D (Opentelematics)

Acciones y Actores

Acciones y Actores

Que debemos hacer, de qui´en debemos cuidarnos?

Esteban Saavedra L´opez, Ph.D (Opentelematics)

Acciones y Actores Acciones y Actores Que debemos hacer, de qui´en debemos cuidarnos? Esteban Saavedra L´opez,

De que debemos cuidarnos

De que debemos cuidarnos Esteban Saavedra L´opez, Ph.D (Opentelematics)

Esteban Saavedra L´opez, Ph.D (Opentelematics)

De que debemos cuidarnos Esteban Saavedra L´opez, Ph.D (Opentelematics)

Los antivirus coadyuban a la seguridad perimetral

Los antivirus coadyuban a la seguridad perimetral Esteban Saavedra L´opez, Ph.D (Opentelematics)

Esteban Saavedra L´opez, Ph.D (Opentelematics)

Los antivirus coadyuban a la seguridad perimetral Esteban Saavedra L´opez, Ph.D (Opentelematics)

Tareas a realizar

Tareas a realizar Esteban Saavedra L´opez, Ph.D (Opentelematics)

Esteban Saavedra L´opez, Ph.D (Opentelematics)

Tareas a realizar Esteban Saavedra L´opez, Ph.D (Opentelematics)

Pasos a seguir

Pasos a seguir Esteban Saavedra L´opez, Ph.D (Opentelematics)

Esteban Saavedra L´opez, Ph.D (Opentelematics)

Pasos a seguir Esteban Saavedra L´opez, Ph.D (Opentelematics)

Que precisamos?

Que precisamos? Esteban Saavedra L´opez, Ph.D (Opentelematics)

Esteban Saavedra L´opez, Ph.D (Opentelematics)

Que precisamos? Esteban Saavedra L´opez, Ph.D (Opentelematics)

El Software Libre al rescate

El Software Libre al rescate

Por defecto, cualquier distribuci´on de GNU/Linux tiene la capacidad de

brindarnos una serie de herramientas, que nos permiten establecer una

perimetro de seguridad, desde lo mas simple a lo mas complejo.

Esteban Saavedra L´opez, Ph.D (Opentelematics)

El Software Libre al rescate El Software Libre al rescate Por defecto, cualquier distribuci´on de GNU/Linux

Herramientas de Software Libre

Herramientas de Software Libre Esteban Saavedra L´opez, Ph.D (Opentelematics)

Esteban Saavedra L´opez, Ph.D (Opentelematics)

Herramientas de Software Libre Esteban Saavedra L´opez, Ph.D (Opentelematics)

Firewall (1)

Firewall (1) Esteban Saavedra L´opez, Ph.D (Opentelematics)

Esteban Saavedra L´opez, Ph.D (Opentelematics)

Firewall (1) Esteban Saavedra L´opez, Ph.D (Opentelematics)

Firewall (2)

Firewall (2) Esteban Saavedra L´opez, Ph.D (Opentelematics)

Esteban Saavedra L´opez, Ph.D (Opentelematics)

Firewall (2) Esteban Saavedra L´opez, Ph.D (Opentelematics)

Gesti´on y Monitoreo (1)

Gesti´on y Monitoreo (1) Esteban Saavedra L´opez, Ph.D (Opentelematics)
Gesti´on y Monitoreo (1) Esteban Saavedra L´opez, Ph.D (Opentelematics)

Esteban Saavedra L´opez, Ph.D (Opentelematics)

Gesti´on y Monitoreo (2)

Gesti´on y Monitoreo (2) Esteban Saavedra L´opez, Ph.D (Opentelematics)

Esteban Saavedra L´opez, Ph.D (Opentelematics)

Gesti´on y Monitoreo (2) Esteban Saavedra L´opez, Ph.D (Opentelematics)

Productos Integrales

Productos Integrales Esteban Saavedra L´opez, Ph.D (Opentelematics)

Esteban Saavedra L´opez, Ph.D (Opentelematics)

Productos Integrales Esteban Saavedra L´opez, Ph.D (Opentelematics)

Referencias

Referencias Esteban Saavedra L´opez, Ph.D (Opentelematics)
Referencias Esteban Saavedra L´opez, Ph.D (Opentelematics)

Esteban Saavedra L´opez, Ph.D (Opentelematics)

Demostraci´on de Herramientas

Demostraci´on de Herramientas

Esteban Saavedra L´opez, Ph.D (Opentelematics)

Demostraci´on de Herramientas Demostraci´on de Herramientas Esteban Saavedra L´opez, Ph.D (Opentelematics)

Preguntas

Preguntas

Preguntas, dudas, consultas, sugerencias, ...

Esteban Saavedra L´opez, Ph.D (Opentelematics)

Preguntas Preguntas Preguntas, dudas, consultas, sugerencias, ... Esteban Saavedra L´opez, Ph.D (Opentelematics)