Product SiteDocumentation Site

Capítol 14. Seguretat

14.1. Definició d'una política de seguretat
14.2. Tallafocs o filtratge de paquets
14.2.1. El comportament d'nftables
14.2.2. Migració des d'iptables a nftables
14.2.3. Sintaxi d'nft
14.2.4. Instal·lació de les regles a cada arrencada
14.3. Supervisió: Prevenció, detecció, dissuassió
14.3.1. Monitoritzar els registres amb logcheck
14.3.2. Monitorització de l'activitat
14.3.3. Evitar les intrusions
14.3.4. Detecció de canvis
14.3.5. Detecció d'intrusions (IDS/NIDS)
14.4. Introducció a AppArmor
14.4.1. Principis
14.4.2. Habilitar AppArmor i gestionar-ne els perfils
14.4.3. Creació d'un perfil nou
14.5. Introducció a SELinux
14.5.1. Principis
14.5.2. Configuració de SELinux
14.5.3. Gestió d'un sistema SELinux
14.5.4. Adaptació de les regles
14.6. Altres consideracions de seguretat
14.6.1. Riscs inherents de les aplicacions web
14.6.2. Saber què esperar
14.6.3. Triar el programari sàviament
14.6.4. Gestió d'una màquina com un tot
14.6.5. Els usuaris també juguen
14.6.6. Seguretat física
14.6.7. Responsabilitat legal
14.7. Tractament d'una màquina compromesa
14.7.1. Detecció i visualització de la intrusió del «cracker»
14.7.2. Desconnectar el servidor
14.7.3. Mantenir tot el que es pugui utilitzar com a evidència
14.7.4. Reinstal·lació
14.7.5. Anàlisi forense
14.7.6. Reconstrucció de l'escenari d'atac
Un sistema d'informació pot tenir un nivell d'importància variable depenent de l'entorn. En alguns casos, és vital per a la supervivència d'una empresa. Per tant, ha de protegir-se de diversos tipus de riscos. El procés d'avaluació d'aquests riscos, la definició i aplicació de la protecció es coneix col·lectivament com el "procés de seguretat".

14.1. Definició d'una política de seguretat

COMPTE Àmbit d'aquest capítol

La seguretat és un tema vast i molt delicat, per la qual cosa no podem pretendre descriure-ho de cap manera de forma exhaustiva en el transcurs d'un únic capítol. Només delimitarem alguns punts importants i descriurem algunes de les eines i mètodes que poden ser d'utilitat en l'àmbit de la seguretat. Per a una lectura posterior, la literatura abunda i llibres sencers han estat dedicats al tema.
La paraula "seguretat" en si cobreix una àmplia gamma de conceptes, eines i procediments, cap dels quals té validesa universal. Triar entre ells requereix una idea precisa de quins són els propis objectius. Assegurar un sistema comença per respondre a unes quantes preguntes. Precipitar-se per l'aplicació d'un conjunt arbitrari d'eines corre el risc de centrar-se en aspectes erronis de la seguretat.
Per tant, el primer que cal determinar és l'objectiu. Un bon enfocament per a ajudar amb aquesta determinació comença amb les següents preguntes:
  • Què s'està intentant protegir? La política de seguretat serà diferent depenent de si volem protegir els ordinadors o les dades. En aquest últim cas, també hem de saber quines dades.
  • De què estem intentant protegir-nos contra? És una fuita de dades confidencials? La pèrdua accidental de dades? Pèrdua d'ingressos causada per la interrupció del servei?
  • A més, de qui ens estem intentant protegir? Les mesures de seguretat seran molt diferents per a protegir-se contra un error de control per part d'un usuari regular del sistema del que seria protegir-se contra un grup atacant motivat.
El terme "risc" s'utilitza habitualment per referir-se col·lectivament a aquests tres factors: què protegir, què evitar que succeeixi, i qui intentarà fer-ho. El modelatge del risc requereix respostes a aquestes tres preguntes. A partir d'aquest model de risc, es pot construir una política de seguretat i la política es pot aplicar amb accions concretes.

NOTA Qüestions permanents

Bruce Schneier, un expert mundial en qüestions de seguretat (no només sobre la seguretat informàtica) intenta contrarestar un dels mites més importants de la seguretat amb un lema: "La seguretat és un procés, no un producte". Allò que es protegeix pot canviar amb el temps, i també les amenaces i els mitjans disponibles per als possibles atacants. Fins i tot si al principi s'ha dissenyat i aplicat perfectament una política de seguretat, mai hauríem d'adormir-nos als llorers. Els components de risc evolucionen i la resposta a aquest risc ha d'evolucionar en conseqüència.
També cal tenir en compte les restriccions addicionals, ja que poden restringir la gamma de polítiques disponibles. Fins a on estem disposats a arribar per a garantir un sistema? Aquesta qüestió té un gran impacte en la política a aplicar. La resposta es defineix amb massa freqüència només en termes de costos monetaris, però també s'han de considerar els altres elements, com la quantitat de molèsties imposades als usuaris del sistema o la degradació del rendiment.
Una vegada modelat el risc, es pot començar a pensar en el disseny d'una veritable política de seguretat.

NOTA Polítiques extremes

Hi ha casos en els quals l'elecció de les accions necessàries per a garantir un sistema és extremadament simple.
Per exemple, si el sistema que ha de protegir-se només comprèn un ordinador de segona mà, l'únic ús de la qual és sumar uns pocs números al final del dia, decidir no fer res especial per a protegir-lo seria bastant raonable. El valor intrínsec del sistema és baix. El valor de les dades és zero ja que no s'emmagatzemen a l'ordinador. Un possible atacant infiltrant aquest "sistema" només guanyaria una calculadora poc flexible. El cost d'assegurar un sistema d'aquest tipus seria probablement major que el cost d'un atac.
En l'altre extrem de l'espectre, potser volem protegir la confidencialitat de dades secretes de la forma més exhaustiva possible, ignorant qualsevol altra consideració. En aquest cas, una resposta apropiada seria la destrucció total d'aquestes dades (esborrant els arxius de manera segura, esmicolant els discos durs a trossets i després dissolent aquests trossos en àcid, etc.). Si hi ha un requisit addicional que les dades s'han de mantenir en emmagatzematge per a un ús futur (encara que no necessàriament disponible de manera immediata), i si el cost encara no és un factor, llavors un punt de partida seria emmagatzemar les dades de les plaques d'aliatge d'iridium-platí emmagatzemades en búnquers a prova de bombes sota diverses muntanyes del món, cadascuna de les quals és (per descomptat) totalment secreta i vigilada per exèrcits sencers…
Encara que aquests exemples puguin semblar extremistes, serien sens dubte una resposta adequada als riscos definits, en la mesura en què són el resultat d'un procés de reflexió que té en compte els objectius a aconseguir i les limitacions a complir. Quan procedeix d'una decisió raonada, cap política de seguretat és menys respectable que cap altra.
En la majoria dels casos, el sistema d'informació es pot segmentar en subconjunts consistents i majoritàriament independents. Cada subsistema tindrà els seus propis requisits i restriccions, per la qual cosa l'avaluació del risc i el disseny de la política de seguretat haurien de realitzar-se per separat per a cadascun. Un bon principi que cal tenir en compte és que un perímetre curt i ben definit és més fàcil de defensar que una frontera llarga i sinuosa. L'organització de la xarxa també hauria de dissenyar-se en conseqüència: els serveis sensibles haurien de concentrar-se en un petit nombre de màquines, i aquestes màquines només haurien de ser accessibles a través d'un nombre mínim de punts de control; assegurar aquests punts de control serà més fàcil que assegurar totes les màquines sensibles contra la totalitat del món exterior. És en aquest punt que la utilitat del filtrat de xarxa (incloent-hi els tallafocs) es fa evident. Aquest filtratge es pot implementar amb un maquinari dedicat, però una solució possiblement més simple i flexible és utilitzar un tallafocs de programari com el que ve integrat al nucli de Linux.