EUSKADI EN LA SOCIEDAD DE LA INFORMACION
Software Libre: Encuentros Empresariales

Enpresa Digitala
 Euskadi en la Sociedad de la Informacion

25/11/2005

Bruce Schneier

Clasificado bajo: — Peio Arreitunandia @ 6:15 pm

Kaixo.

Antes de que Maika se enfade ;) yo propongo algunas preguntas:

1 - Antes teniamos como firewall el FW1 de CheckPoint, y hace unos tres años hicimos la migración a un servidor linux con iptables. La decision fue puramente economica. Quien tenga CheckPoint conoce el coste de mantenimiento anual, …., unas pelas. CheckPoint ofrecia soporte para VPNs, y lo migramos a IPSEC+fresswan.

El sistema va bien, y no tenemos constancia de que nadie haya conseguido saltarse el firewall, pero nos queda la duda de si la nueva solución basada totalmente en software libre es igual de segura que la versión anterior.

Se que FW1 ofrecia servicios que ahora no tenemos, como el tema de la seguridad a nivel de aplicación, pero la pregunta es, ¿ es mas inseguro iptables+freesswan que FW1 (u otro producto comercial) ?

2 - Cada vez vemos mas redes Wifi instaladas (subvenciones de la spri, etc). A pesar de que configuremos las redes con protocolos seguros (WPA2, WPA+TKIP), recomendaria utilizar la red wifi para acceder a toda la informacion de la red corporativa al igual que se hace con una conexión ethernet de la empresa ? En otras palabras, ve seguro ampliar la red corporativa a traves de la red inalambrica ?

3 - Conozco una empresa que esta pensando en abrir su intranet a internet, de forma que a traves de https un usuario pueda validarse desde Internet y acceder a TODA la informacion de la red local (extranet).

Estan pensando en que cualquier usuario pueda acceder a la informacion corporativa desde cuaquier parte, utilizando solo el navegador.

A mi en un primer momento me parecio de cine, pero luego pensandolo bien me vienen pegas. Que ocurre si algun empleado accede desde un sitio no controlado en el cual puede haber keyloggers o troyanos, por ejemplo el PC que te dejan en un hotel o un cibercafe ? La contraseña estaria comprometida, y por lo tanto, estaria comprometida la seguridad de la red local.

Una solucion que se me ocurre es la de de utilizar VPNs en vez de https para acceder a la intranet. Esta parece una solucion mas complicada, menos comoda para el usuario, pero mas segura. A esta solucion la pega que le veo es que si configuran VPNs en los PCs de casa de los empleados, un PC infectado en casa podria hacer que se propagara el virus a la red interna a traves de la VPN (le busco pegas a todo ;) )

¿ que opina Bruce de esto ?

Bueno yo ya he hecho los deberes, a ver el resto !!!

5 Comentarios

  1. A mi me viene otra a la cabeza. A un usuario domestico (al final todos nuestros clientes son usuarios domesticos en su casa) que tipo de filtros de seguridad le recomendaria tener..

    Nosotros en este momento les estamos aconsejando unos cuantos productos en concreto:

    - Antivirus AVG gratuito
    - Antispyware
    - Firewall ZoneAlarm gratuito…

    Es demasiado para un usuario “casero” ?(Usuario que usa internet, redes P2P, ofimatica, juegos …. ).

    Comment por Koro Gabiola — 25/11/2005 @ 6:54 pm

  2. Además de los puntos comentados por Peio y Koro (los voy a poner en la lista también para que sea más completa), creo que podríamos poner los siguientes:

    - Cortafuegos, Checkpoint vs Iptables, Hard vs Soft
    - Accesos remotos a empresa: VPNs IPsec vs VPNs SSL, Tunneles SSL o SSH, etc.
    - Uso de Wi-fi en la empresa, ampliación de red corporativa con red inalámbrica, modo de minimizar riesgos frente a posibles amenazas.
    - Compras por Internet, tipos de amenazas y mayores riesgos en las mismas.
    - Virus, Troyanos, Backdoors, SPAM, Spyware, como solventar de una manera eficiente la amenaza Malware.
    - Como educar a los Usuarios de una empresa, en buenas prácticas o concienciación de la importancia de la seguridad.
    - Seguridad por defecto de los Diferentes S.O.s, sus opiniones.
    - Software Libre y seguridad van unidos? utilización de standares?
    - Backups Remotos, peligros.
    - Control Biométrico y Single Sign-on, recomendables en una Empresa PYME?
    - Opiniones sobre los últimos sucesos en materia de seguridad: Caso Rootkit Sony, flagrante vulnerabilidad en Internet Explorer, …

    Bueno, estos son algunos puntos que se me han ocurrido, si quereis comentarlos, y/o ampliarlos, libres sois de hacerlo,…

    Agur…

    Comment por Zigor A. Eiguren — 27/11/2005 @ 2:56 am

  3. Preguntas para Schneier

    Hablando de seguridad :

    Como afectan las leyes de Patentes de Software en vigor, así como el software no publico a la Seguridad en la Red ? , efectos positivos, negativos……

    Por contra como afecta el Software Libre a la seguridad en la Red ? efectos positivos, negativos …..

    Como afecta a la seguridad en la Red el “modelo” Microsoft de diseño e integración de aplicaciones ?

    Son los productos comerciales de Antivirus, antiSpyware, FireWalls, etc la “Solución” a los problemas de Seguridad o cree necesario el rediseño del Software y protocolos de comunicaciones ?.

    Comment por Juan Carlos Garcia — 27/11/2005 @ 12:52 pm

  4. Os pongo un poco de background de Schneier, para que sepais un poco de donde viene y a donde va (para intentar aclarar los comentarios de si iba a ser muy específico y técnico o no), por cierto, va en Inglés, para ir acostumbrándonos a lo del Lunes y Jueves:

    “Security is my career. For most of my life, I have been a professional thinker about security. I started out focusing on the mathematics of security -cryptography- and then computer and network security; but more and more, what I do now focuses on the security that surrounds our everyday lives. I’ve worked for the Department of Defense, implementing security solutions for military installations. I’ve consulted for major financial institutions, governments, and computer companies. And I founded a company that provides security monitoring services for corporate and government computer networks.”

    “In security, things are rarely as they seem. Perfectly well-intentioned people often advocate ineffective, and sometimes downright countereffective, security measures. I want to change that; I want to expla9in how security works.”

    Son citas de su libro “Beyond Fear",… las he puesto aquí, para exponer, como Schneier tiene pinta de poder ir tanto por lo técnico como por lo generalista, teniendo visión de conjunto, y pudiendo también ir al grano,… al menos a priori. Es decir, que ya podemos hacer una buena batería de preguntas que podemos estar ante el “Libro gordo de Petete” de la seguridad ;->.

    Agur…

    Comment por Zigor A. Eiguren — 27/11/2005 @ 1:19 pm

  5. A mi me interesaría conocer lo que piensa sobre las normas ISO de seguridad (ISO 17799 y otras) y su implantación a nivel de empresa, sobre todo PYME. Son un poco exageradas o hay que valorar a donde queremos llegar con su implementación? De verdad debemos ser paranoicos con la seguridad?? Muchas veces cuando oigo comentarios sobre seguridad me parece que vamos mucho más allá de lo que un posible atacante puede o quiere hacer con nuestros datos.

    Comment por jorbe — 28/11/2005 @ 9:22 am

RSS de los comentarios de esta entrada.

Deje un comentario

Disculpe, los comentarios están cerrados.

Gestionado con WordPress