ACCV - Ir al inicio Mapa del Web
VALENCIÀ ACCV Legislación Gestión de Certificados Solicitar Certificados Soporte Contactar Acceso Zona Segura
ACCV

Información General
Puntos de Registro
ACCV-Informa
Aplicaciones
Noticias
Convenios
Mapa del Web


Descargar Certificados de la autoridad de Certificación (CA)
Área personal de Servicios de Certificación
Solicitar un Certificado
Estado de los Certificados
Formulario de Atención al Usuario
Autoridad de Certificación y Web de Confianza
 

Noticias


UN MODELO DE SEGURIDAD BASADO EN SOFTWARE LIBRE

Desde la premisa de mantener la neutralidad tecnológica, la Autoritat de Certificació de la Comunitat Valenciana (ACCV)  viene apostando por el software libre en muchos de los procesos críticos propios de los servicios que presta y también en los procesos de control internos. Los ejemplos van desde servidores con  sistema operativo Debian/GNU como sistema base, hasta  el desarrollo de aplicaciones para la versión libre de la Autoridad de Certificación (CA) de JAVA, EJBCA.

Son varias las razones de esta línea de trabajo pero fundamentalmente se podrían resumir en tres: la flexibilidad, la seguridad y los costes económicos, que se ven reducidos por las licencias. Es por ello por lo que a lo largo de los últimos meses se ha reemplazado toda la plataforma de seguridad existente, en lo que se refiere a los controles de detección y corrección, por un modelo basado en software libre.

Era un objetivo de la ACCV para el pasado año 2006 el desarrollo y puesta en producción de un sistema de seguridad que por un lado sustituyera al antiguo, basado en Dragon de Enterasys, y por otro permitiera la integración de todos los elementos de seguridad ya desplegados en los centros de explotación. El primer punto tenía un matiz económico y simple, siendo en el segundo punto donde radicaba la parte más ardua y ambiciosa del proyecto, tal y como describimos a continuación.

Cuando se desarrolla una plataforma de seguridad en la que se establece como objetivo integrar un conjunto de elementos de seguridad heterogéneos (firewalls perimetrales, sistemas de detección de intrusos de red, sensores de host, etc), hay que tener en cuenta la propia integración, pero a su vez abordar la seguridad desde la perspectiva  de 'seguridad en profundidad (defense in-depth)'. Es decir, se debe definir de manera clara una arquitectura que permita coexistir a toda la amalgama de elementos de seguridad, y que éstos a su vez formen un sistema basado en capas, capaz de dotar a todo el conjunto de elementos de seguridad de diferentes niveles adicionales de protección, como si cada servidor y dispositivo de red estuviera conectado directamente al exterior y expuesto sin una barrera perimetral claramente definida. Así, si se diera el caso de que un elemento de seguridad fallara (supóngase un firewall perimetral), se tendrían elementos adicionales, por ejemplo un firewall a nivel de host, que seguirían salvaguardando de las posibles amenazas.

Siguiendo este concepto de 'defense in-depth', es una premisa implementar la seguridad desde los elementos más externos o perimetrales, en forma de  listas de acceso (ACLs) en routers y/o filtrado de paquetes en los firewalls, hasta llegar a la parte más interna, desarrollando sistemas finales o servidores con servicios bien configurados y bien securizados -siguiendo, por ejemplo, las guías de hardening (bastionado), que recomiendan instituciones como SANS , la Agencia Americana de Seguridad (NSA) o el Centro Criptológico Nacional (CCN)-. Una de las consecuencias de la seguridad en profundidad es que hay que tener conciencia de que todas las herramientas y elementos de seguridad empleados generan información, que debe de ser analizada y almacenada, por lo que el volumen de información a tratar aumenta considerablemente.

Durante el desarrollo de esta arquitectura en la ACCV se planteó la necesidad de encontrar un sistema que permitiera desplegar controles de detección en la red en forma de sistemas de detección de intrusos de red (NIDS) en los servidores finales, mediante sistemas de detección de intrusos de host (HIDS) y detectores de anomalías.  A la par, toda la información generada en forma de logs debía centralizarse, homogeneizarse,  clasificarse, priorizarse y almacenarse, es decir, se tenía la necesidad de correlar la información. Tampoco se podía pasar por alto los dispositivos de seguridad ya existentes así como la integración de éstos con la nueva plataforma de seguridad. Por tanto era una precondición que los diferentes niveles de firewalls perimetrales y los sistemas de prevención de intrusos desplegados en la red se conexionaran con todo el sistema.

Las posibilidades a la hora de decidirse por productos open source son amplias y variadas si se miran desde una perspectiva independiente, como por ejemplo un simple sistema de detección de intrusos de red -snort, prelude, bro-, o un sistema sensor de host -como osiris snare, sytrace.-, pero si se toma una perspectiva de integración y correlación, el abanico de productos libres se reduce a muy pocos.

Nuestra apuesta se hizo finalmente por OSSIM, escogido básicamente por su fácil integración con casi cualquier dispositivo de red que permita monitorizarse en un servidor de logs remoto (conmutadores de nivel dos, routers, firewalls, IPS.. ), lo que facilitaba la integración con el hardware de red ya existente. Otra de las razones de nuestra apuesta por OSSIM fue por la cantidad de herramientas que integra y que facilitan una visión de lo que está ocurriendo en la red, desde una perspectiva de control de posibles errores o anomalías (herramientas de evaluación de los flujos de tráfico como Ntop o tcptrack, hasta la monitorización del estado de ciertos servicios, como ocurre con Nagios o Mrtg. Y  por último, la flexibilidad de OSSIM para trabajar en entornos distribuidos con diferentes subredes y DMZs, mediante el despliegue de agentes adaptados y configurados a cada esquema y topología. Teníamos claro cual iba a ser el framework de nuestro sistema de seguridad, quedaba decidirse por las herramientas a integrar.

La monitorización de red se delegaba al NIDS open source más popular: Snort. Esta sonda de red es la base del sistema OSSIM,  y para la que además existen multitud de proyectos de desarrollo de patrones de ataques, como bleeding rules, garantizando así la continúa actualización de las firmas. Además, incorpora un detector de anomalías, Spade, que permite detectar cualquier anomalía en los flujos de tráfico.

También el sistema se apoya en detectores a nivel dos (capa de enlace en el modelo OSI), como es arpwatch, que nos da una visión de los cambios en la capa de acceso al medio.

Para la parte de monitorización de los servidores los objetivos marcados para visionar eran fundamentalmente cuatro: monitorización del compendio de los ficheros, monitorización de usuarios y grupos del sistema, monitorización de los accesos al sistema y monitorización de los puertos a la escucha. Las herramientas que cumplían estos requisitos y a su vez mejor se integraban con OSSIM  son OSIRIS para los sitemas Unix, en nuestro caso Solaris y Linux,  y  Snare, para los sistemas Windows.

Sólo quedaba pendiente el tratamiento de los logs de los dispositivos perimetrales existentes  (los firewalls y los sistemas de prevención de intrusos) y de la información generada por los diferentes sistemas operativos, que monitorizan el propio sistema mediante sus procesos de logs. Esta parte requería el envío de la información a un syslog remoto, que en nuestro caso es el servidor principal de la plataforma de seguridad, donde una vez recibidos los logs se interpretan y correlan con los parses o intérpretes de logs adecuados.

Resumiendo, gracias a las soluciones de software libre ha sido posible diseñar una plataforma de seguridad en la ACCV que integra los productos propietarios ya desplegados, con las nuevas herramientas libres, con nuevas funciones de detección y cuya información generada es debidamente tratada, priorizada y almacenada de manera centralizada. Todo ello se ha llevado a cabo, definiendo de manera paralela  una arquitectura con diferentes niveles de protección, que nos garantiza la seguridad en profundidad y una visión centralizada y homogénea de los eventos ocurridos.

 

Angel Alonso Párrizas
Administrador de Seguridad de la ACCV

 

31/01/2007

Volver al resumen de noticias.