Se otorga permiso para copiar, distribuir y/o modificar este documento bajo los t�rminos de la Licencia de Documentaci�n Libre GNU, Versi�n 1.1 o cualquier otra versi�n posterior publicada por la Free Software Foundation, no habiendo Secciones Invariantes (Invariant Sections). Una copia de la licencia se encuentra en: http://www.gnu.org/copyleft/fdl.html
Resumen
En este documento se presentar�n las actividades a realizar durante el Taller de Seguridad que se celebrar� durante el Congreso de Hispalinux 2002.
�Por qu� un taller de seguridad? La realidad actual es que existe un riesgo muy elevado para cualquier sistema de informaci�n que est� conectado (aunque sea moment�neamente) a cualquier otro sistema de informaci�n. Igualmente, los usuarios no son generalmente conscientes de los riesgos existentes ni de la forma de paliarlos. El objetivo del taller es aumentar el conocimiento de los asistentes en seguridad y, particularmente, en las m�didas para mejorar la seguridad de sistemas basados en software libre.
No se tratar�n, directamente, los conceptos cl�sicos de seguridad (te�rica) como puedan ser los de confidencialidad, integridad, disponibilidad, y no repudio. As�, se dar� por supuesto que el an�lisis de riesgos (paso previo imprescindible para cualquier acercamiento) ha sido realizado y que la pol�tica de seguridad est� definida. Estos son pasos previos necesarios a la implementaci�n de seguridad en s� y no son, realmente, abordados con software. El talle ser�, fundamentalmente, pr�ctico y, por tanto, se centrar� en las herramientas de software libre que ayudan a implementar la seguridad que previamente se haya definido.
Cuando se habla de utilizar software libre para implementar seguridad en sistemas no se habla, exclusivamente, de la utilizaci�n de software para implementar mecanismos de cifrado (ya sea asim�trico o sim�trico) sino de herramientas para implementar la cadena completa de un ciclo de vida (en lo que a seguridad) se refiere de un sistema inform�tico: protecci�n (o prevenci�n), detecci�n, reacci�n (o respuesta) y recuperaci�n. Evidentemente, es necesario herramientas para cubrir todos y cada uno de estos aspectos, no siendo �tiles ninguno de ellos de forma aislada y debiendo combinarse para adaptarse a la pol�tica de seguridad.
El inter�s de utilizar, exclusivamente, herramientas de software libre dentro del taller no s�lo nace del hecho puntual de que el congreso se celebre entorno a �ste tipo de software sino por las ventajas ofrecidas en el �mbito de la seguridad inform�tica de la utilizaci�n de software libre:
El coste del software es reducido (podr�a decirse que nulo). Algo raro cuando se habla de software relacionado con la seguridad inform�tica.
Es posible auditar la implementaci�n del software, minimizando la posibilidad de "puertas traseras" y fallos de seguridad derivados de una mala implementaci�n.
Las posibilidades derivadas de las licencias asociadas al software libre permiten que el software pueda ser adaptado seg�n las necesidades del usuario (eliminando funciones no deseadas o incorporando nuevos mecanismos de protecci�n, detecci�n y reacci�n), arreglado cuando se descubran problemas (que lo son m�s graves en el mundo de la seguridad) y mejorado de forma que �ste evolucione.
Evidentemente, la seguridad no es un producto, es un proceso (�sta es una m�xima com�nmente olvidada por los fabricantes de productos). Los productos no tienen un f�n en s� mismo sino que tienen que estar integrados dentro de una pol�tica coherente de seguridad. Pol�tica que una empresa podr�a desarrollar bas�ndose en est�ndares como el ISO 17799 (anteriormente conocido como el British Standard 7799) o el RFC 2196. Sin embargo, tambi�n es cierto que, sin un adecuado conocimiento de las capacidades de protecci�n pueden llegarse a dise�ar pol�ticas de seguridad cuya implementaci�n pr�ctica no sea posible con la tecnolog�a actual.
El taller se desarrollar� de forma pr�ctica, realizando distintas tareas de todas las fases relacionadas con la seguridad que puedan afectar a un sistema inform�tico. As� se mostrar�n las fases de:
Instalaci�n y configuraci�n. En este paso se mostrar�n algunos de los conceptos b�sicos a tener en cuenta como son: determinaci�n de la funci�n del sistema, selecci�n del software m�s adecuado a la tarea a realizar y mecanismos b�sicos de protecci�n a implementar previos a la puesta en marcha.
Bastionado (fortificaci�n) del sistema, incluyendo la instalaci�n de cortafuegos locales, adaptaci�n del n�cleo del sistema, compartimentalizaci�n del acceso de los servicios, revisi�n de la instalaci�n, etc.
Actualizaci�n de parches de seguridad. Este aspecto describir� la evoluci�n natural de los sistemas operativos (afectados por el descubrimiento de problemas de seguridad) y los pasos a dar para solucionar los problemas de seguridad conocidos de antemano.
Instalaci�n de herramientas de monitorizaci�n del sistema y de detecci�n de instrusos, describiendo las distintas herramientas disponibles para implementar mecanismos de detecci�n y sus funciones.
Utilizaci�n de herramientas de auditor�a para la comprobaci�n de la seguridad local y remota. Estas herramientas facilitan la revisi�n cont�nua del estado de seguridad y cumplimiento de la pol�tica de seguridad.
Herramientas a utilizar en el caso de que el sistema sea comprometido y en aquellos casos en las que los an�lisis forenses formen parte del mecanismo de reacci�n.
Para ello, el ponente realizar� el taller bas�ndose en el sistema operativo Debian GNU/Linux y herramientas de seguridad de software libre inclu�das en �ste (y algunas que a�n no lo est�n) como puedan ser:
Bastionado: Bastille Linux, Makejail, jailer, (del n�cleo) SElinux, grsecurity, openwall.
Auditor�a: Nessus, Tiger, Nikto, Whisker, John, Crack, Nmap, raccess, xprobe.
Detecci�n de intrusos: Snort, Tiger, ippl, chkrootkit, psad, portsentry.
Monitorizaci�n de integridad: aide, integrit, tripwire, fcheck.
Monitorizaci�n: logcheck, syslog-ng, ucd-snmp, fwlogwatch, fwctl
Protecci�n tcpwrappers (herramientas para generaci�n de reglas para cortafuegos) fwbuilder, shorewall, firestarter, knetfilter, shorewall (cortafuegos proxy) zorp,
An�lisis forense: tct, strace, ltrace, fenris.
Evidentemente, la demostraci�n pr�ctica del funcionamiento de las herramientas depender� del tiempo disponible durante el taller. As�mismo, hay ciertas herramientas que no ser�n tratadas en el taller. Como son las implementaciones de antivirus, sistemas de ficheros con journaling, implementaciones de t�neles cifrados, herramientas de firma digital... que, por supuesto, tambi�n forman parte de una soluci�n de seguridad.
Nota: Se recomienda a los asistentes que lleven sus propios equipos (preferiblemente port�tiles) con tarjetas de red (la organizaci�n informar� de las condiciones y m�todos de acceso) para poder realizar estas mismas pruebas descarg�ndose el software necesario del servidor instalado al efecto. No ser� necesario (pero s� aconsejable) que las distribuciones instaladas sean Debian GNU/Linux pudi�ndose utilizar cualquier otra distribuci�n de Linux o derivado de BSD.
El desarrollo del taller seguir� el acercamiento a la seguridad de sistemas mostrado en el http://www.debian.org/doc/manuals/securing-debian-howto/index.en.html#contents[Manual de Seguridad de Debian]
Referencias:
http://www.tldp.org/HOWTO/Security-HOWTO/index.html [Linux Security HOWTO]
http://www.tldp.org/HOWTO/Security-Quickstart-HOWTO/ [Security Quick-Start HOWTO for Linux]
http://www.debian.org/doc/manuals/securing-debian-howto/index.en.html[Debian Security Manual]
http://www.linuxsecurity.com/docs/colsfaq.html[comp.os.linux.security FAQ]
http://www.tldp.org/HOWTO/Security-Quickstart-HOWTO/ [Security Quick-Start HOWTO for Linux]
http://people.freebsd.org/~jkb/howto.html[FreeBSD security HOWTO]
http://www.susesecurity.com/faq/[SUSE security FAQ]
http://www.dwheeler.com/oss_fs_why.html[Why Open Source Software / Free Software (OSS/FS)? Look at the Numbers!
Seguridad en UNIX y Redes, Antonio Villal�n Huerta.
http://congreso.hispalinux.es/congreso2001/actividades/ponencias/ferrer/[El sistema operativo GNU/Linux y sus herramientas libres en el mundo de la seguridad: estudio del estado del arte.]