Re: Opinión sobre mi seguridad

To: debian-user-spanish@lists.debian.org
Subject: Re: Opinión sobre mi seguridad
From: "Jaime Robles" <jaime@robles.es>
Date: Wed, 12 Nov 2008 08:38:29 +0100 (CET)
Message-id: <56574.194.69.225.89.1226475509.squirrel@correo.robles.es>
In-reply-to: <4919A9BD.30409@gmail.com>
References: <49186CF1.4@gmail.com> <c3dd3d190811101254i5b771e7fy9ca2e3b083c76f43@mail.gmail.com> <4918ADE2.5080405@gmail.com> <21812.194.69.225.89.1226409123.squirrel@correo.robles.es> <4919A9BD.30409@gmail.com>

> Bueno, te voy a comentar mi caso particular, sobre las medidas de
> seguridad y sobre qué es lo que quiero proteger:
Ahí, ahí, ...


> En primer lugar, mis dos ordenadores están pegados el uno al otro, uso
> la misma pantalla y teclado, y sólo tengo que darle a un botón para
> cambiar de ordenador. Como ves, muy incómodo no es (2 segundos iniciales
> de espera).
Ok, eso es bueno saberlo.
¿Cambia también la conexión de red? ¿Conecta/desconecta al ordenador
"sensible" de la red cuando no está en uso? Mantener conectado un
ordenador "rojo" cuando no es necesario que esté no tiene justificación
:-)


> Lo que voy a proteger va a estar en mi ordenador porque voy a acceder a
> esos datos mediante Internet. Es decir, en algún sitio lo tendré que
> meter del disco duro mientras que estoy conectado, y de poco me sirve
> tenerlo en un USB no conecado ya que los necesito para tener abiertos
> casi constantemente.
Ok.
Perfecto, nos vamos entendiendo.
Se trata de datos sensibles a los que necesitas acceder desde Internet
pero... me daba la impresión de que en tu operación diaria tú ibas a estar
delante del ordenador que iba a gestionar esos datos sensibles ¿no?
En ese caso puedes conectar/desconectar la unidad de disco  ¿no?
Si la operación no es remota ¿para qué vas a tener esos datos on-line
cuando no están en uso?
Casi constantemente... ¿es 24x7? o es sólo constantemente pero sólo cuando
usas ese ordenador?

> Ahora, bien, siempre trato de tener el cable RJ45
> (que lo tengo justo a la derecha de la pantalla) desenchufado para echar
> un ojo a todos los datos y sacar lo que tengo que sacar sin temores.
Así que no es un acceso remoto sino local, aunque tengas que operar esos
datos con una conexión a Internet.
¿Tienes que mandar esos datos a Internet?
¿Son datos que no se pueden tecear"/copiar en el momento del uso?

> Aún así, ¿que ocurriría si alguien pudiera acceder a mi ordenador
> incluso con todas las restricciones que he puesto? Que podría acceder a
> mis datos cómodamente sin que yo lo supiese.
Si alguien pudiera acceder a tu ordenador podrías perder la
confidencialidad, la integridad e incluso la disponibilidad de tus datos
pero no se cual de las tres quieres proteger o dar prioridad.

> Firewall: Iptables + Shorewall (ahora estoy pensando si uso shorewall de
> estable o la última versión); Política DROP por defecto, con macros para
> mis conexiones DNS y http/s.
Hay que hacer log de algunas cosillas para ver qué es lo que se cuece y
poder analizar los hechos en caso de un incidente.


> Hardening: Bastille (básico), SELinux en política "strict" y
> "enforcing", harden (no sirve de mucho pero algo hace), Openwall,
> analizadores de rootkits.
El hardening es importante claro. :-)
Hay que proteger la máquina para que, si entran, tengan acceso a lo mínimo
posible.

> IDS: Snort en modo inline, ya que como IDS no me convence, o eso o soy
> demasiado inexperto todavía modificando reglas (si resuelvo un
> problemilla que tengo con mysql), ippl, psad.
:-)

> Analizador de integridad de archivos: Estaba pensando en AIDE o samhain,
> supongo que tarde o temprano tendré que decantarme por uno.
No están mal, pero claro, debes luego analizar los logs e informes que
generan.

> Analizador de logs: logcheck.
OK, lo mismo... hay que analizar informes...

Un problema de los analizadores, generadores de log, informes, reportes y
demás es que pueden provocar una sobrecarga de información que el operador
debe leer de forma habitual.
Si tienes informes pero no los lees... no valen para mucho.

> Lo reconozco, no sólo quiero seguridad, es que el tema también me
> interesa bastante, por eso estoy constantemente buscando nueva
> información.
Eso me parecía a mi ;-)
Resulta interesante instalar TODOS los cacharritos, programas para luego
poder elegir lo mejor.

> En un futuro bastante próximo: Herramientas de cifrado, herramientas
> varias (las que vaya descubriendo).
El cifrado es muy interesante.
¿Has probado truecrypt? Echale un ojo.
Poder montar discos  en unix/windows desde archivos cifrados es muy
interesante y permite la portabilidad de datos entre sistemas.

> ¿Qué es lo que opinas sobre las herramientas? ¿Faltan? ¿Puedo cifrar un
> archivo y configurar una excepción para poder abrirlo con según que
> programa?
No entiendo lo de configurar la excepción... ¿re refieres a configurar el
sistema para poder descifrar un archivo sólo con un programa?

El problema es que cuando piensas/diseñas un sistema defines la operación
que se va a hacer sobre ese sistema, pones medidas y demás... pero luego
el atacante no sigue ese concepto de operación. El atacante si no conoce
la forma correcta de operar el sistema puede encontrar "huecos" de forma
casual que tú no hayas previsto y si conoce la forma de operar no los
encontrará por casualidad, los buscará ;-)



-- 
Un saludo,
	Jaime Robles, EA4TV
	jaime@robles.es

Visita:
   http://jaime.robles.es

Reply to:

References:
- Opinión sobre mi seguridad
  - From: bd <mgdpz1@gmail.com>
- Re: Opinión sobre mi seguridad
  - From: "Matías Bellone" <matiasbellone@gmail.com>
- Re: Opinión sobre mi seguridad
  - From: Manuel Gomez <mgdpz1@gmail.com>
- Re: Opinión sobre mi seguridad
  - From: "Jaime Robles" <jaime@robles.es>
- Re: Opinión sobre mi seguridad
  - From: Manuel Gomez <mgdpz1@gmail.com>

Prev by Date: Re: cacti y routers SpeedTouch 530
Next by Date: RE: Instalacion fallida de mysql-server
Previous by thread: Re: Opinión sobre mi seguridad
Next by thread: Re: Opinión sobre mi seguridad
Index(es):
- Date
- Thread