Open Source para seguridad Perimetral??????????

Forums: 

Hola a todos

Un cordial saludo.

Estoy entendiendo que el Gobierno del Ecuador, como política de estado para las instituciones públicas, ha dispuesto la no adquisición de software bajo licencia y la implementación de soluciones de software libre.

En el tema relativo a la seguridad perimetral, protección de amenazas yo me pregunto lo siguiente:

Sabiendo que el software libre u Open Source es una gran iniciativa, no deja de ser un trabajo de voluntarios. A quién se le reclama en casos de una falla de seguridad?

Quién se dedicará a trabajar en un centro de operaciones en donde se realizarán investigaciones y evaluaciones para obtener nuevos patrones (o firmas) de nuevas amenazas?

Está listo el software libre para evitar ataques de día cero? Nuevos métodos de explotación de vulnerabilidades? Intrusiones no autorizadas?

Quién responde? Qué garantías existen?

Muchos saludos

Open source es más que "voluntarios"

Imagen de Monkito
Para empezar open source no necesariemente quiere decir "gratis", por ende el trabajo no es sólo de voluntarios, hay empresas grandes que desarrollan sofware libre con fines de lucro, por ejemplo RedHat.

Pasando al tema de la seguridad perimetral, muchas de las soluciones de bajo costo y otras de no tan bajo costo son basadas en linux, no es otra cosa que un linux con una interfaz gráfica o un cliente de escritorio mediante el cual puedes crear entre otras cosas reglas de iptables haciendo clicks, configurar acls en squid, vpn, etc.

Un X producto llámese gateprotect, fortigate, sofos, etc sea o no basado linux no podría decirse 100% open source sólo porque su núcleo sea linux, ya que ellos agregan interfaces gráficas u otras funciones cuyo código no es "open".

Cualquiera sea el producto que quieras adquirir, deberá tener una empresa detrás, quien haga actualizaciones y a quien puedas solicitar soporte, firmas de comportamiento de amenazas nuevas, sandboxing, etc.

Yendo un poco más allá, te comento que por seguridades del protocolo https no es cacheable ni se puede "urgar" en su tráfico para obtener estadísticas o aplicar filtros, muchos productos solventan este inconveniente mediante la instalación de un certificado ssl en los navegadores de los clientes para poder interceptar su tráfico y aplicar las reglas establecidas, no es algo fácil de hacer cuando tienes muchos usuarios pero en teoría no hay otra forma de hacerlo.

Saludos.!

------------
counter.li.org

Cogito Ergo Sum

La falla de seguridad no es

Imagen de Epe
La falla de seguridad no es del hardware normalmente, no es del software normalmente. La experiencia me indica que la falla de seguridad se debe al elemento humano, a la capa 8. Te lo digo con mucha certeza. A este punto es al que se le debe reclamar.

Lamentablemente estamos acostumbrados a adquirir soluciones que supuestamente hacen todo. Y olvidamos que al cerebro hay que entrenarlo. Ahora lo mejor es tratar de invertir en mejorar el conocimiento, capacitarse, entrenarse y hacer muy buen uso de lo que el software libre nos puede brindar. Esto aplica incluso para cuando se compran soluciones yolohagotodoytunonecesitashacernada. Es penoso ver cómo se compran a veces soluciones y no se aprovecha ni el 10% de lo que hacen, porque no se sabe utilizar.

Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

Muchas preguntas, muchas

Imagen de deathUser
Muchas preguntas, muchas respuestas ...

Sabiendo que el software libre u Open Source es una gran iniciativa, no deja de ser un trabajo de voluntarios. A quién se le reclama en casos de una falla de seguridad?

Ya te contestaron por ahí, si bien es cierto, las iniciativas de Software Libre y/o de Open Source (que valga la aclaración no son lo mismo), son generalmente llevadas a cabo por voluntarios, también es cierto, que hay empresas detrás de los grandes productos de SL y OS, ya mencionaron un ejemplo (RedHat) y justamente es ahí donde entra el análisis de quien va a implementar tal o cual solución en determinada institución, si por ejemplo, yo como persona natural (Death User) decido implementar una solución de seguridad perimetral, puedo seleccionar la solución con la que me sienta cómodo, ya sea por experiencia, por costos, por facilidad de instalación, y un gran número de etcs... Ahora, si como una gran transnacional (Death Corporation) o como un ente del estado (un gad por ejemplo, como el municipio de Death City), decido implementar una solución de seguridad perimetral, debo hacer el mismo análisis, pero esta vez con los requerimientos de la empresa, estándares mínimos requeridos, soporte, costos, y los mismos o más etcs anteriores, luego de tomada la decisión, ahí va la respuesta a la segunda pregunta ...

A quién se le reclama en casos de una falla de seguridad? Pues si contrataste a una empresa con soporte y demás, pues a la empresa, si seleccionaste una solución basada por completo en la comunidad, pues, en primer lugar te reclamas a ti mismo por haber hecho la selección, paso seguido o en paralelo, haces el respectivo reporte a la comunidad para que se tome en cuenta el descubrimiento que has hecho y estás atento a la respuesta y parches para aplicarlos, te comento que comunidades fuertes, tienen tiempos de respuesta ante incidentes, incluso mejores que algunas corporaciones. 

Quién se dedicará a trabajar en un centro de operaciones en donde se realizarán investigaciones y evaluaciones para obtener nuevos patrones (o firmas) de nuevas amenazas?

Nuevamente aplica lo del párrafo anterior, una corporación o una comunidad ...

Está listo el software libre para evitar ataques de día cero? Nuevos métodos de explotación de vulnerabilidades? Intrusiones no autorizadas?

En muchos casos si, ejemplos se han dado en implementaciones de protocolos, estándares, etc en SL u OS versus sus contrapartes en Software Propietario, los tiempos de respuesta han sido la mayoría de las veces mejores en las implementaciones de SL u OS, otros comerciales como la Moco$oft, incluso no cierran sus vulnerabilidades y no responden a solicitudes de usuarios ...

Quién responde? Qué garantías existen?

Nuevamente, vamos al párrafo inicial, responde la empresa a la que contratas, a la cual puedes demandar si quieres (a eso me suena el Quién responde?), a una comunidad dudo que puedas demandar, o eso sentaría un precedente que no me quiero imaginar, en cuanto a las garantías, las que te de la empresa que contratas o la licencia del software implementado, normalmente dice algo como: 
This software is provided "as iswithout express or implied warranty.
Es decir, sin garantías implícitas o explícitas, ah y por cierto, el párrafo anterior ha sido tomado del texto de una licencia de Moco$oft ...

bye
}:-)