Jornadas Seguridad
Este material es un extracto de la presentación “Políticas de
Seguridad en entornos GNU” de:
Sancho Lerena
slerena@gnusec.com
Indice
Introduccion
Políticas de Seguridad
a) Análisis
b) Diseño
Implementación
a) Arquitectura de redes seguras
b) Seguridad Perimetral
1) Firewall. Netfilter
•
•
•
•
IDS
Inspección deestados
NAT
Filtrado
Cadenas
Avance
Teoría organizativa
Funcionamiento Algoritmos
Avance
Arquitectura real de redes
Descripciones técnicas
Avance
Gestion y control
Introducción a la seguridad
Seguridad
¿ Que es la Seguridad ?.
Lógica
Física
Redes
Firewalls
IDS
Hosts/Aplicaciones
Software Abierto vsSoftware Cerrado
Soporte y otros “problemas”
Seguridad I
Software Abierto vs Software Cerrado
Seguridad II
Empresa
Diferentes tecnologías
Contraste
Seguridad
Variedad
Aplicaciones fuera de entornos
críticos
Alternativas de bajo coste
Funcionalidades más flexibles
Seguridad III
Teoría vs Práctica en la seguridad
Falta de conocimientos
Prisas y falta de profesionalidad
GUI’s
Capacidad de Organización y de
escalabilidad.
La seguridad no es...
!
Ni un firewall “tonto” (Filtrado Simple)
Ni tampoco un Firewall “listo” (Filtrado de
estados).
Políticas de seguridad
Ingeniería de Seguridad I
Ingeniería de seguridad. Modelos
Análisis
Diseño
Implementación
Mantenimiento eincidencias.
Referencias.
Ingeniería de Seguridad II
Modelo Clásico Ing. del Software
Ingeniería de Seguridad III
Modelo ISS
Ingeniería de Seguridad IV
Modelo CERT
Análisis. Que es (I)
Que es una Política de Seguridad
“La seguridad obtenida sólo con medios técnicos es limitada”,
“Sin técnica que la respalde, la seguridad es papel mojado”.
Sistemasinformaticos.
Organizaciones.
Análisis. ¿ Que es ? (II)
Una Política de Seguridad no es
un firewall.
Fallos Técnicos
Fallos no técnicos: Señora de la limpieza,
fallos humanos, mal diseño, poco control en
la organización....
Kevin Midnick
Análisis. ¿¡ QUE ES !? (III)
¿ Que es una política de seguridad ?
Confusiones varias al respecto.
Un conjunto de documentos, con un orden y una
sistematización.
Describe paso a paso los distintos elementos de una
política de seguridad.
Detalla riesgos y peligros
Como protegerse frente a esos riesgos, medidas a
tomar y detalles de esas medidas.
Que medidas tomar frente a posibles incidencias
Que hacer en el peor de los casos
Análisis. Que es (IV)
UnaPolítica de Seguridad no se
vende ni se compra.
No existen productos que hagan todo.
La seguridad se vende con el miedo.
El riesgo es real, las consecuencias diversas.
Figura del Consultor / Técnico de Seguridad.
Análisis. Necesidad
Necesidad de una Política de
Seguridad en una organización.
Confidencialidad.
Integridad.
Disponibilidad.Análisis. Justificación
Justificación
Establece lo que se puede hacer y lo que no, de
forma escrita y formal. Se puede leer y es algo
escrito y aceptado.
Demuestra que la empresa se lo quiere tomar en
serio. Implica un compromiso con los directivos.
Util frente a una auditoria, sobre todo si se siguen
las normalizaciones.
Util para demostrar casos de intrusiones odelitos
contra los sistemas informáticos.
Analisis. Normalización I
Normalización y método.
ISO 17799, BS7799, RFC 2196
Standard y certificación
Rigurosidad y Método
Hacking ”etico”
Análisis. Normalización II
Normalización y método II
Hacker vs Administrador
Análisis. Ámbitos
Personas implicadas y
responsabilidades en el proyecto.
...
Regístrate para leer el documento completo.