Politicas de seguridad en linux
-
Upload
daniel-zavala -
Category
Documents
-
view
43 -
download
6
Transcript of Politicas de seguridad en linux
POLÍTICAS DE SEGURIDAD
DEBIAN
¿Qué son las políticas de seguridad?
Las políticas de Seguridad de la
Tecnología de la Información
identifican las reglas y procedimientos
para cada usuario que accede o usa
los recursos tecnológicos de una
organización
Las políticas de seguridad deben considerar
algunos elementos.
•Alcance de las políticas: Facilidades, sistemas y el
los usuarios sobre el cual aplicara.
Objetivos de las Políticas y debe tener una
Definición de violaciones y sanciones en caso de
no cumplir con las políticas.escripción clara en su
definición
•Responsabilidades por cada servicio y recurso
•Requerimientos mínimos para la seguridad de los
sistemas
•Responsabilidades de los usuarios respecto a la
información a la que tiene acceso
FIREWALL O EL FILTRADO DE PAQUETES
Un firewall es una puerta de enlace de la red con filtro y sólo es eficaz enaquellos paquetes que deben pasar a través de ella.
NETFILTER utiliza cuatro tablas distintas que almacenan las reglas queregulan tres tipos de operaciones sobre los paquetes:
•filter se refiere a las reglas de filtrado (aceptar, rechazar o ignorar unpaquete)
•nat se refiere a la traducción de las direcciones de origen o destino ypuertos de los paquetes, tenga en cuenta que esta tabla sólo existe paraIPv4;
•mangle se refiere a otros cambios en los paquetes IP
•raw permite otras modificaciones manuales en los paquetes antes de quelleguen al sistema de seguimiento de conexiones.
CREACIÓN DE REGLAS
Cada creación de una regla requiere una invocación de iptables/ip6tables.Escribir estas órdenes de forma manual puede ser tedioso, por lo que lasllamadas se suelen almacenar en un script para definir la mismaconfiguración automáticamente cada vez que arranque la máquina.
Puede escribir este script a mano, pero también puede ser interesanteprepararlo con una herramienta de alto nivel como fwbuilder.
SUPERVISIÓN: PREVENCIÓN, DETECCIÓN, DISUASIÓN
La monitorización es una parte integral de cualquier política de seguridad
por varias razones:
•Garantizar la confidencialidad de los datos,
•Garantizar la disponibilidad de los servicios.
•Detección de intentos de intrusión
•Permite una reacción rápida antes que ocurran graves consecuencias
MONITORIZACIÓN DE LOS REGISTROS CON LOGCHECK
logcheck monitoriza los archivos de registro, de forma predeterminada, cada hora.
Envía los mensajes de registro inusuales en correos electrónicos al administrador
para su posterior análisis.
La lista de archivos a monitorizar se almacena en /etc/logcheck/logcheck.logfiles;
los valores predeterminados funcionan bien si no modificó completamente el
archivo /etc/syslog.conf
MONITORIZACIÓN DE ACTIVIDAD
En tiempo real
top es una herramienta interactiva que muestra una lista de los procesos
en ejecución.
Historial
DETECCIÓN DE CAMBIOS
Una vez que el sistema está instalado y configurado, dejando al margen las
actualizaciones de seguridad, es interesante asegurarse que efectivamente
los archivos no cambian: debería investigar cualquier cambio inesperado.
Auditoría de paquetes: debsums
permite buscar qué archivos instalados han sido modificados se encuentran
en /var/lib/dpkg/info/paquete.md5sums
Monitorización de archivos: AIDE
Permite comprobar la integridad de los archivos y detectar cualquier
cambio frente a una imagen guardada previamente del sistema válido. Se
almacena esta imagen como una base de datos (/var/lib/aide/aide.db)
DETECCIÓN DE INTRUSIONES
snort es un NIDS — un sistema de detección de intrusiones de red
(«Network Intrusion Detection System»). Su función es escuchar la red y
tratar de detectar intentos de infiltración y/o actos hostiles (inclusive ataques
de denegación de servicio).
Todos estos eventos son registrados y diariamente se envía un email al
administrador con un resumen de las últimas 24 horas.