Taller de Seguridad

Javier Fernández-Sanguino Peña

Debian GNU/Linux

Se otorga permiso para copiar, distribuir y/o modificar este documento bajo los términos de la Licencia de Documentación Libre GNU, Versión 1.1 o cualquier otra versión posterior publicada por la Free Software Foundation, no habiendo Secciones Invariantes (Invariant Sections). Una copia de la licencia se encuentra en: http://www.gnu.org/copyleft/fdl.html

Resumen

En este documento se presentarán las actividades a realizar durante el Taller de Seguridad que se celebrará durante el Congreso de Hispalinux 2002.


¿Por qué un taller de seguridad? La realidad actual es que existe un riesgo muy elevado para cualquier sistema de información que está conectado (aunque sea momentáneamente) a cualquier otro sistema de información. Igualmente, los usuarios no son generalmente conscientes de los riesgos existentes ni de la forma de paliarlos. El objetivo del taller es aumentar el conocimiento de los asistentes en seguridad y, particularmente, en las médidas para mejorar la seguridad de sistemas basados en software libre.

No se tratarán, directamente, los conceptos clásicos de seguridad (teórica) como puedan ser los de confidencialidad, integridad, disponibilidad, y no repudio. Así, se dará por supuesto que el análisis de riesgos (paso previo imprescindible para cualquier acercamiento) ha sido realizado y que la política de seguridad está definida. Estos son pasos previos necesarios a la implementación de seguridad en sí y no son, realmente, abordados con software. El talle será, fundamentalmente, práctico y, por tanto, se centrará en las herramientas de software libre que ayudan a implementar la seguridad que previamente se haya definido.

Cuando se habla de utilizar software libre para implementar seguridad en sistemas no se habla, exclusivamente, de la utilización de software para implementar mecanismos de cifrado (ya sea asimétrico o simétrico) sino de herramientas para implementar la cadena completa de un ciclo de vida (en lo que a seguridad) se refiere de un sistema informático: protección (o prevención), detección, reacción (o respuesta) y recuperación. Evidentemente, es necesario herramientas para cubrir todos y cada uno de estos aspectos, no siendo útiles ninguno de ellos de forma aislada y debiendo combinarse para adaptarse a la política de seguridad.

El interés de utilizar, exclusivamente, herramientas de software libre dentro del taller no sólo nace del hecho puntual de que el congreso se celebre entorno a éste tipo de software sino por las ventajas ofrecidas en el ámbito de la seguridad informática de la utilización de software libre:

Evidentemente, la seguridad no es un producto, es un proceso (ésta es una máxima comúnmente olvidada por los fabricantes de productos). Los productos no tienen un fín en sí mismo sino que tienen que estar integrados dentro de una política coherente de seguridad. Política que una empresa podría desarrollar basándose en estándares como el ISO 17799 (anteriormente conocido como el British Standard 7799) o el RFC 2196. Sin embargo, también es cierto que, sin un adecuado conocimiento de las capacidades de protección pueden llegarse a diseñar políticas de seguridad cuya implementación práctica no sea posible con la tecnología actual.

El taller se desarrollará de forma práctica, realizando distintas tareas de todas las fases relacionadas con la seguridad que puedan afectar a un sistema informático. Así se mostrarán las fases de:

Para ello, el ponente realizará el taller basándose en el sistema operativo Debian GNU/Linux y herramientas de seguridad de software libre incluídas en éste (y algunas que aún no lo están) como puedan ser:

Evidentemente, la demostración práctica del funcionamiento de las herramientas dependerá del tiempo disponible durante el taller. Asímismo, hay ciertas herramientas que no serán tratadas en el taller. Como son las implementaciones de antivirus, sistemas de ficheros con journaling, implementaciones de túneles cifrados, herramientas de firma digital... que, por supuesto, también forman parte de una solución de seguridad.

Nota: Se recomienda a los asistentes que lleven sus propios equipos (preferiblemente portátiles) con tarjetas de red (la organización informará de las condiciones y métodos de acceso) para poder realizar estas mismas pruebas descargándose el software necesario del servidor instalado al efecto. No será necesario (pero sí aconsejable) que las distribuciones instaladas sean Debian GNU/Linux pudiéndose utilizar cualquier otra distribución de Linux o derivado de BSD.

El desarrollo del taller seguirá el acercamiento a la seguridad de sistemas mostrado en el http://www.debian.org/doc/manuals/securing-debian-howto/index.en.html#contents[Manual de Seguridad de Debian]

Referencias:

  1. http://www.tldp.org/HOWTO/Security-HOWTO/index.html [Linux Security HOWTO]

  2. http://www.tldp.org/HOWTO/Security-Quickstart-HOWTO/ [Security Quick-Start HOWTO for Linux]

  3. http://www.debian.org/doc/manuals/securing-debian-howto/index.en.html[Debian Security Manual]

  4. http://www.linuxsecurity.com/docs/colsfaq.html[comp.os.linux.security FAQ]

  5. http://www.tldp.org/HOWTO/Security-Quickstart-HOWTO/ [Security Quick-Start HOWTO for Linux]

  6. http://people.freebsd.org/~jkb/howto.html[FreeBSD security HOWTO]

  7. http://www.susesecurity.com/faq/[SUSE security FAQ]

  8. http://www.mandrakesecure.net/en/[Mandrake Security]

  9. http://www.openbsd.org/security.html[OpenBSD Security]

  10. http://www.dwheeler.com/oss_fs_why.html[Why Open Source Software / Free Software (OSS/FS)? Look at the Numbers!

  11. Seguridad en UNIX y Redes, Antonio Villalón Huerta.

  12. http://congreso.hispalinux.es/congreso2001/actividades/ponencias/ferrer/[El sistema operativo GNU/Linux y sus herramientas libres en el mundo de la seguridad: estudio del estado del arte.]