05-AccessControlv3

1

CISSP Security Training – Access Control Systems and Methodology

Access Control

CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.

2

Agenda

� Aspectos generales� Tipos de control de acceso

� Implementación de control de acceso� Identificación, autenticación, autorización y auditoría

� Técnicas de identificación y autenticación� Passwords� Sistemas Biométricos

� Tokens / Tickets / Single Sign On

� Kerberos

� Modelos de control de acceso� Administración de control de acceso

� Monitoreo, Auditoría y Logs� Sistemas de Detección de Intrusos (IDS)

� Métodos de ataque� Referencias y Lecturas Complementarias

� Preguntas

Access Control

Aspectos Generales

2



4

Aspectos Generales

� La transferencia de información desde un objeto a un

sujeto es llamada acceso.

� Los sujetos son entidades activas, que pueden estar

representados por: �Usuarios

�Programas

�Procesos�Computadoras, etc.


5

� Los objetos son entidades pasivas, que pueden estar

representados por: �Archivos

�Bases de datos

�Programas

�Procesos� Impresoras

�Medios de almacenamientos, etc.

Aspectos Generales (Cont.)


6

Aspectos Generales (Cont.)

� El sujeto es siempre la entidad que recibe información

acerca del objeto, o datos que provienen de éste.

� El sujeto es también la entidad que altera o modifica la

información del objeto, o bien, los datos almacenados dentro de él.

3



7

CIA Triad

� El Control de Acceso se implementa para asegurar:

�Confidencialidad

� Integridad

�Disponibilidad


8

Confidencialidad

� Es la necesidad de que la información sólo sea

conocida por personas autorizadas.


9

Integridad

� Es la característica que hace que el contenido de la

información permanezca inalterado, a menos que sea

modificado por personal autorizado

4



10

Disponibilidad

� Es la capacidad que permite que la información se

encuentre siempre disponible, para que pueda ser

procesada por el personal autorizado.

Access Control

Tipos de Control de Acceso


12

Tipos de Control de Acceso

� Los controles de acceso pueden ser divididos en tres

tipos principales:

�Control de Acceso Preventivo

�Control de Acceso Detectivo

�Control de Acceso Correctivo

� También pueden encontrarse los siguientes:

�Control de Acceso de Disuasión

�Control de Acceso de Recuperación

�Control de Acceso de Compensación

5



13

Control de Acceso Preventivo

� Es implementado para detener una actividad no

autorizada, antes que la misma ocurra.

� Algunos ejemplos son:

�Políticas de seguridad

�Capacitación en materia de seguridad

�Aplicaciones antivirus

�Firewall

�Encripción, etc.


14

Control de Acceso Detectivo

� Es implementado para descubrir una actividad no

autorizada.


�Guardias de seguridad

� Investigación de incidentes

�Sistemas de detección, etc.


15

Control de Acceso Correctivo

� Es implementado para restaurar un sistema a su

funcionamiento normal, luego de que una actividad no

autorizada ha ocurrido.


�Políticas de seguridad

�Manuales

�Plan de Contingencia, etc.

6



16

Control de Acceso de Disuasión

� Son controles usados para desalentar violaciones de

seguridad.


�Cerraduras

�Rejas

�Guardias de seguridad

�Circuito cerrado de TV

�Separación de funciones, etc.


17

Control de Acceso de Recuperación

� Son controles usados para restaurar recursos y

capacidades.


�Copias de seguridad

�Software antivirus, etc.


18

Control de Acceso de Compensación

� Es implementado para brindar alternativas a otros

tipos de control.


�Monitoreo y supervisión

�Procedimientos de personal, etc.

7


Access Control

Implementación del Control de Acceso


20

Implementación de Control de Acceso

� La implementación de un Control de Acceso puede

ser categorizada en:

� Control de Acceso Administrativo

� Control de Acceso Lógico / Técnico

� Control de Acceso Físico


21

Control de Acceso Administrativo

� Comprenden las normas y procedimientos definidos

en la Política de Seguridad de la Organización, a fin

de implementar y hacer cumplir las medidas de control

de acceso.


�Políticas

�Procedimientos

�Revisiones

�Clasificación de los datos

�Capacitación en seguridad, etc.

8



22

Control de Acceso Lógico/Técnico

� Comprenden los mecanismos de hardware o software

usados para gestionar el acceso a recursos y

sistemas de manera de brindar protección a los

mismos.


�Passwords

�Encripción

�Smart Cards

�Sistemas biométricos

�ACLs, etc.


23

Control de Acceso Físico

� Comprenden la distribución de barreras físicas a fin de

prevenir el contacto directo con los sistemas.


�Detectores de movimientos

�Sensores

� Luces

�Cerraduras

�Perros

�Cámaras, etc.

Access Control

Identificación, Autenticación,

Autorización y Accounting

9



25

Pasos para Acceder a un Objeto

� El control de acceso gobierna el acceso de sujetos a

objetos.

� Existen varios pasos para poder acceder a un objeto:

� Identificación

�Autenticación

�Autorización

�Auditoría / Responsabilidad (Accouting)


26

Identificación

� Es el proceso por el cual un sujeto proporciona una

identidad y una cuenta es iniciada.

� Un usuario puede utilizar como identidad:

�Username

� Logon ID

�PIN, etc.


27

Autenticación

� Es el proceso de verificar que una identidad

proporcionada es válida.

� La autenticación requiere que el sujeto proporcione

información adicional que debe corresponder exactamente con la identidad indicada.

� El método más común, es el empleo de Passwords.

10



28

� Los tipos de información más comunes que pueden ser

empleados son:

Tipo 1: Un factor de autenticación por Tipo 1 es “Algo que

usted conozca”, como ser: una password, un PIN, etc.


usted tiene”, como ser: una smart card, un token, etc.


usted es”, como ser: Una huella digital, análisis de voz,

escáner de retina o iris, etc.

Autenticación (Cont.)


29

Autenticación (Cont.)

� En adición a estos, existen otras como ser:

� “Algo que usted hace”, tanto como: firmar un

documento, escribir una frase (Teclados dinámicos),

etc. normalmente incluido dentro del Tipo 3,

� “Donde usted se encuentra”, tanto como: una PC

específica, una línea telefónica determinada, etc.

normalmente incluido dentro del Tipo 2.


30

Autorización

� Puede ser definido como una política que es usada para permitir o denegar el acceso a un recurso.

� Esto puede ser un componente avanzado como una tarjeta inteligente, un dispositivo biométrico o un dispositivo de acceso a la red como un router, accesspoint wireless o access server.

� También puede ser: un servidor de archivos o recursos que asigne determinados permisos como los sistemas operativos de red (Windows 2000, Novell, etc).

11



31

� El hecho de que un sujeto haya sido identificado y autenticado, no significa que haya sido autorizado.

� Como ejemplo podemos citar que “Un usuario puede estar habilitado para imprimir un documento, pero no para alterar la cola de impresión”.

Autorización (Cont.)


32

Auditoría (Accounting)

� Es el proceso de registrar eventos, errores, accesos e

intentos de autenticaciones en un sistema.

� Existen varias razones para que un administrador

habilite esta funcionalidad:

� Detección de intrusiones

� Reconstrucción de eventos y condiciones del sistema

� Obtener evidencias para acciones legales

� Producir reportes de problemas, etc.

� El conjunto de acciones a ser auditadas pueden ser:

� Eventos de Sistema

� Eventos de Aplicaciones

� Eventos de Usuarios


33

Eventos de Sistema

� Monitoreo de performance

� Intentos de logon (exitosos y fracasados)

� Logon ID

� Fecha y hora de cada intento de logon

� Bloqueos de cuentas de usuario

� Uso de herramientas administrativas

� Uso de derechos y funciones

� Modificación de archivos de configuración

� Modificación o eliminación de archivos críticos, etc.

12



34

Eventos de Aplicaciones

� Mensajes de error

� Apertura y cierre de archivos

� Modificación de archivos

� Violaciones de seguridad en la aplicación, etc.


35

Eventos de Usuarios

� Identificación e intentos de autenticación

� Archivos, servicios y recursos utilizados

� Comandos ejecutados

� Violaciones de seguridad

Access Control

Técnicas de Identificación y

Autenticación

13



37

Técnicas de Identificación y Autenticación

� Entre las principales técnicas de mayor utilización en

la actualidad, encontramos:

�Passwords

�Sistemas Biométricos

�Tokens

�Tickets


38

Passwords

� Es la técnica de autenticación más usada, pero

también es considerada la más débil.

� Las fallas habituales de seguridad se deben a:

� Los usuarios elijen frecuentemente passwords que son fáciles de recordar y, en consecuencia, fáciles de

romper.

� Las passwords aleatorias son difíciles de recordar.

� Las passwords son fáciles de compartir, olvidar y

escribir.

�Pueden ser robadas fácilmente, por observación,

grabación, etc.


39

Passwords (Cont.)

�Algunas passwords se transmiten en texto claro o

protegidas por técnicas fáciles de romper.

�Passwords cortas pueden ser descubiertas rápidamente

por ataques de fuerza bruta, etc.

14



40

Tipos de Password

� Existen dos tipos de passwords:

�Estáticas

�Dinámicas

� Las passwords “Estáticas” siempre permanecen iguales y solo cambian cuando expira su tiempo de

vida.

� Las passwords “Dinámicas” cambian después de un

período de tiempo de uso. Las One-Time Passwordsson una variante de esta categoría.


41

One Time Password

� Esta técnica utiliza passwords que sólo tienen validez

para un usuario específico durante una determinada

sesión.

� Un ejemplo característico lo constituye el sistema S/Key.

� El sistema utiliza algoritmos de hashing de una vía

con el fin de crear un esquema de contraseñas de

única vez .

� Aquí las contraseñas son enviadas a través de la red,

pero luego que la password fue utilizada, caduca y no

es válida para ser utilizada nuevamente.


42

One Time Password (Cont.)

� Este sistema tiene tres componentes fundamentales:

�Cliente: Pide el login del usuario. No realiza

almacenamiento de contraseñas.

�Host: Procesa la contraseña, almacena la contraseña

de única vez y también le provee al cliente el valor

inicial para calcular el hash.

�Calculador de Claves: Es la función de hash para la contraseña de única vez.

15



43

Passphrase y Password Cognoscitivo

� Algo más efectivo que una simple “password” es una

“passphrase”, al ser ésta una cadena de caracteres

más larga que una simple palabra.

� Otro interesante mecanismo es conocido como

“password cognoscitivo”, el cual comprende una

serie de preguntas acerca de hechos cuyas

respuestas sólo pueden ser conocidas por un sujeto determinado.


44

Ataques a Passwords

� Cuando un atacante busca obtener las passwords,

puede utilizar diferentes métodos, como ser:�Análisis de tráfico de red

�Acceso al archivo de passwords

�Ataques por fuerza bruta

�Ataques por diccionario� Ingeniería social, etc.


45

Políticas de Definición de Passwords

� Muchas organizaciones poseen Políticas de Definición

de Passwords, las cuales comprenden una serie de

restricciones, como ser:

� Longitud mínima

�Duración mínima y máxima

�No reutilizar el username o parte del mismo

�Guardar histórico de passwords

�Utilizar mayúsculas, minúsculas, números, caracteres

especiales

�Prevenir reuso, etc

16



46

Sistemas Biométricos

� Los sistemas biométricos se basan en características

físicas del usuario a identificar o en patrones de

conducta.

� El proceso general de autenticación sigue unos pasos comunes a todos los modelos de autenticación

biométrica:

�Extracción de ciertas características de la muestra (por

ejemplo, el detalle de una huella dactilar).

�Comparación de tales características con las

almacenadas en una base de datos.

�Finalmente la decisión de si el usuario es válido o no.


47

Sistemas Biométricos (Cont.)

� La mayoría de los dispositivos biométricos tienen un ajuste de sensibilidad para que puedan ser configurados de manera que operen en forma más sensible o menos sensible.

� Cuando un dispositivo es demasiado sensible, ocurre un error Tipo 1, es decir, un sujeto válido no es autenticado; esto se conoce como Tasa de Falsos Rechazos (FRR).

� Cuando un dispositivo no es lo suficientemente sensible, ocurre un error Tipo 2, es decir, un sujeto inválido es autenticado; esto se conoce como Tasa de Falsas Aceptaciones (FAR).


48


� El punto en el cual FRR=FAR es conocido como

Crossover Error Rate (CER).

� El nivel CER es usado como un estándar para evaluar

la performance de los dispositivos biométricos.

17



49


� Entre los tipos de sistemas biométricos más utilizados,

encontramos:

�Huellas digitales

�Reconocimiento de retina

�Reconocimiento de iris

�Reconocimiento facial

�Geometría de la mano

�Reconocimiento de la palma

�Verificación de voz

�Dinámica de la firma a mano alzada


50


� Además de los costos hay tres puntos críticos a

determinar a la hora de elegir un sistema biométrico

como método de control de acceso:

�Aceptación del usuario

�Tiempo de enrollment y throughput

�Precisión

Adicionalmente también son importantes:

�Facilidad de implementación

�Tamaño y manejo de las muestras


51

Aceptación del usuario

� Los más aceptados por usuarios, por orden, son:

� Iris Scan

�Keystroke Dynamics

�Signature Dynamics

�Voice Verification

�Facial Recognition

�Fingerprint

�Palm Scan

�Hand Geometry

�Retina Scan

18



52

Enrollment

� Es el proceso en el cual se toma la muestra del

atributo físico del individuo, la cual será almacenada

en una base de datos sobre la cual se verificará

posteriormente su identidad.

� Muchas veces se necesita tomar repetidas muestras

del atributo hasta que se logra finalmente.

� Esto puede hacer que los tiempos de enrollment sean

altos y el sistema tenga baja aceptación.


53

Throughput

� Comprende el proceso propiamente dicho de

identificación o autenticación de una persona.

� Es cuando la persona somete su característica física

al dispositivo biométrico, quien lo compara con la almacenada en la base de datos.

� Al igual que el proceso de enrollment, puede

necesitarse repetir la operación de reconocimiento

más de una vez, con lo cual los tiempos de respuesta serán altos, perdiendo funcionalidad.


54

Precisión

� Los más efectivos, por orden, son:

�Palm Scan

�Hand Geometry

� Iris Scan

�Retina Scan

�Fingerprint

�Voice Verification

�Facial Recognition

�Signature Dynamics

�Keystroke Dynamics

19



55

Ventajas de los Sistemas Biométricos

� Entre las ventajas más significativas, encontramos:

�No pueden ser prestados, como una llave o token y no

se pueden olvidar como una contraseña.

�Buena relación entre facilidad de uso, tamaño de los

templates, costo y precisión.

�Permiten la identificación única de un individuo, aún en

casos de bases de datos de gran tamaño.

�Duran para siempre...

� Logran que los procesos de login y autenticación no

requieran esfuerzo alguno.


56

Desventajas de los Sistemas Biométricos

� Entre las desventajas más importantes, encontramos:

�Todavía siguen siendo particularmente caros.

�Aún existe cierto rechazo o desconfianza por parte de

los usuarios.


57

Sistemas Biométricos y Privacidad

� Seguimiento y Vigilancia: Permiten seguir y vigilar

los movimientos de una persona.

� Anonimicidad: Si la identificación está asociada a

una base de datos, se pierde el anonimato al acceder

a servicios a través de sistemas biométricos.

� Profiling:La recopilación de datos acerca de

transacciones realizadas por un individuo en

particular, permite definir un perfil de las preferencias,

afiliaciones y creencias de ese individuo.

20



58

Tokens

� Son dispositivos generadores de password que un

sujeto lleva con él.

� Los dispositivos tokens pertenecen a la clase “Algo que usted tiene” (Tipo 2)

� Existen cuatro tipos de tokens:

�Tokens estáticos

�Tokens sincrónicos basados en tiempo

�Tokens sincrónicos basados en eventos

�Tokens asincrónicos basados en desafío/respuesta


59

Tokens Estáticos

� Estos tokens requieren de un factor adicional para

brindar autenticación, como ser una password o una

característica biométrica.

� La mayoría de estos dispositivos almacenan una clave

criptográfica como ser, una clave privada,

credenciales de logon encriptadas, etc.

� Son utilizados principalmente como técnica de

identificación en lugar de autenticación.

� Algunos ejemplos son: �Smart card�Floppy disk

�USB device, etc


60

Tokens Sincrónicos Basados en Tiempo

� Las tarjetas y el servidor tienen relojes que miden el

tiempo transcurrido desde la inicialización.

� Cada cierto tiempo el número resultante se encripta y

se muestra en la pantalla de la tarjeta; el usuario

ingresa su PIN en el servidor junto con el número que

se visualiza en su tarjeta.

� Como el servidor conoce el momento de inicialización

de la tarjeta también puede calcular el tiempo

transcurrido, dicho valor encriptado deberá coincidir

con el introducido por el usuario para que éste sea

aceptado.

21



61

Tokens Sincrónicos Basados en Eventos

� Las passwords se generan debido a la ocurrencia de

un evento, por ejemplo se requiere que el sujeto

presione una tecla en la tarjeta.

� Esto causa que la tarjeta y el servidor avancen al

próximo valor de autenticación.

� El usuario debe ingresar su PIN en la tarjeta.

� A partir del conjunto formado por el PIN y el nuevo

valor de autenticación, se genera una nueva password

aplicando una función criptográfica (Ej: DES, Hash,

etc.) a dicho conjunto, la que será enviada al servidor

para su verificación.


62

Tokens Asincrónicos Basados en Desafío/Respuesta

� El servidor de token genera una cadena de dígitos

aleatoria (desafío) y la envía al cliente remoto que

intenta acceder a la red.

� El usuario remoto ingresa esa cadena de dígitos más

su PIN en la token card, la cual le aplica una función

criptográfica (Ej: DES) con una llave almacenada,

generando la contraseña (respuesta).

� El resultado de esa función es enviado nuevamente al

servidor de token, quien realiza la misma operación.

� Si el resultado es igual, el usuario es autenticado.


63

Tickets

� Este mecanismo emplea una tercera entidad, aparte

del cliente y el servidor, la cual brinda el servicio de

autenticación.

� Es importante aquí citar el concepto de Single SignOn (SSO).

22



64

Single Sign On (SSO)

� Este mecanismo le permite a un sujeto ser autenticado sólo una vez, luego el mismo puede acceder a los recursos y servicios del sistema libremente, sin ser autenticado nuevamente.


�Scripts

�SESAME

�KryptoKnight

�Clientes “Delgados”

�Servicios de directorio

�Kerberos

� etc.


65

Scripts

� Consiste en la forma más sencilla de implementar un

sistema single sign-on.

� Cuando un usuario solicita acceso a un recurso, se

corre un script en background que ejecuta los mismos comandos y tareas que dicho usuario debería ingresar

para autenticarse debidamente frente a este recurso.

� Requiere cambios cada vez que un usuario modifica

su ID o password.

� Debido a que este tipo de scripts contienen

credenciales de usuario, deben ser almacenados en

un área protegida.


66

SESAME

� SESAME (Secure European System for Applications

in a Multi-vendor Environment) es un proyecto que fue

desarrollado para extender la funcionalidad de

Kerberos y mejorar sus debilidades.

� Mientras que Kerberos sólo emplea algoritmos de

encripción Simétricos, SESAME utiliza algoritmos de

encripción Simétricos y Asimétricos para proteger el

intercambio de datos.

� Mientras que Kerberos emplea Tickets para la

autenticación de sujetos, SESAME utiliza “Certificados

de Atributos de Privilegio” (PACs).

23



67

SESAME (Cont.)

� Estos PACs contienen:

� Identidad del sujeto

� Capacidades de acceso para cada objeto

� Período de tiempo de acceso

� Tiempo de vida del PAC

� Cada PAC está firmado digitalmente.

� En este esquema, la tercera parte de confianza se

denomina “Servidor de Atributos de Privilegio” (PAS), el cual tiene un rol similar al KDC en el esquema

Kerberos.


68

SESAME (Cont.)

� El proceso de autenticación es el siguiente:

�El usuario envía sus credenciales al Servidor de

Autenticación (AS).

�El AS envía un token al cliente para que éste pueda

comunicarse con el PAS.

�Cuando el usuario requiere acceso a un recurso, envía

el token al PAS.

�El PAS crea y envía un PAC al usuario.

�El usuario utiliza el PAC para autenticarse frente al

recurso que pretende acceder.


69

KryptoKnight

� Relación “peer to peer”.

� Soporta:

�Administración

�Autenticación

�Distribución de llaves

�Confidencialidad

� Integridad

24



70

Clientes “Delgado”

� Son equipos que no pueden almacenar información

(Diskless computers o terminales bobas).

� Esta tecnología fuerza al usuario a realizar un logon

en la red para habilitar el uso del computador.

� Esta terminal sólo puede ejecutar una lista muy

reducida de instrucciones, las cuales permiten la

conexión con un servidor de autenticación.

� Si el proceso de autenticación es correcto, el server

descarga en la terminal el sistema operativo, el perfil y

la capacidad funcional para utilizar en la sesión.


71

Servicios de Directorio

� Permite identificar recursos en una red (Impresoras, Servidores de archivo, Controladores de dominio, etc.), brindando un mecanismo para que los mismos se encuentren disponibles a usuarios y programas.

� Se compone de una base de datos jerárquica que contiene las características de los recursos, como ser:

� Nombre

� Ubicación lógica y física

� Sujetos que pueden acceder

� Operaciones que pueden ser realizadas, etc.

� Algunos ejemplos son: LDAP, NDS y Microsoft Active Directory.

Access Control

Kerberos

25



73

Kerberos

� Fue creado por el Instituto de Tecnología de

Massachusetts (MIT) a comienzos de los años 80.

� La versión actual de Kerberos es la 5, la misma está

publicada por el IETF.

� Es el protocolo de autenticación por defecto en una

implementación Windows 2000/2003 homogénea.


74

� También puede brindar servicios de privacidad e

integridad.

� Kerberos utiliza la encripción para proporcionar cada

servicio.

� Todas las implementaciones de la versión 5 deben

soportar DES-CBC-MD5, aunque se permiten otros

algoritmos.

Kerberos (Cont.)


75

Terminología Kerberos

� Secreto Compartido: La técnica de autenticación se

basa en secretos compartidos. Si un secreto es

conocido sólo por dos entidades, cualquiera de ellas

puede verificar la identidad de la otra confirmando que

su par conoce dicho secreto.

� Autenticador: Consiste en una serie de datos

encriptados por medio del secreto compartido. Esta información debe ser distinta cada vez que se ejecute

el protocolo. Consiste en una marca temporal extraída

del clock de la estación de trabajo del cliente.

26



76

Terminología Kerberos (Cont.)

� KDC: Resulta necesario encontrar una manera de que ambas entidades conozcan el secreto compartido cuando inician una transacción. Kerberos utiliza un "intermediario de confianza" para esta actividad conocido como "Centro de Distribución de Claves" (KDC). El KDC es un servicio que se ejecuta en un server seguro físicamente.

� Clave de Sesión: Cuando un cliente solicita al KDC el acceso a un servidor, éste genera en forma aleatoria una clave denominada "Clave de Sesión" que seráutilizada por el cliente y el servidor para encriptar el diálogo que mantendrán.


77

Terminología Kerberos (Cont.)

� TGT: Cuando un cliente inicia una sesión, solicita al

KDC un boleto especial que le permita solicitar

posteriormente otros boletos (boletos de servicio), los

cuales posibilitarán el acceso a distintos servidores.

Este boleto especial recibe el nombre de "Boleto de

Concesión de Boletos" (Ticket Granting Ticket).

� Boleto de Servicio: Es aquel que solicita el cliente al KDC para poder acceder a un servicio que reside en

un servidor que implementa Kerberos como protocolo

de autenticación. También se lo conoce como "Ticket

Granting Service".


78

Nomenclatura Kerberos

� Kx: Es la clave secreta (Resumen producido por una función Hash de la contraseña) de x, donde x es un cliente (c), una aplicación de servidor (s) o el KDC (k).

� {datos}Kx: Cualquier dato encriptado con la clave secreta de x.

� {T}Ks: Boleto encriptado con la clave secreta del servidor s (Tener en cuenta que no todo el boleto se encripta).

� Kx,y: Clave de sesión utilizada por las instancias x , y.

� {datos}Kx,y: Cualquier dato encriptado con la clave de sesión compartida entre x , y.

27



79

Kerberos en un Ejemplo

� Cuando un usuario inicia la sesión, la parte cliente del protocolo envía un mensaje al KDC solicitando un TGT.

� El mensaje contiene información de autenticación que consiste en un marca temporal, encriptada mediante el resumen de la función de hash de la contraseña del usuario. {marca_temporal}Kc.

� El KDC busca el registro asociado al usuario, donde encontrará el resumen de su clave, y procede a desencriptar el mensaje.

� Si este proceso es exitoso y la marca temporal es

reciente, el usuario es autenticado.


80

Kerberos en un Ejemplo (Cont.)

� El KDC genera en forma aleatoria una clave de sesión que compartirá con el usuario, Kc,k.

� El KDC envía al usuario un TGT encriptado con su clave privada {TGT}Kk. Este ticket contiene entre otros el tiempo de validez del boleto, algunas banderas, datos de autorización del cliente y la clave de sesión entre ambos, Kc,k .

� Esta clave se envía en forma separada al usuario, encriptada con la clave de éste. {Kc,k}Kc.

� El usuario desencripta la clave de sesión, almacena el TGT y está listo para solicitar boletos de servicio cuando haga falta.


81


� Cuando el usuario necesita acceder a un servidor que ejecuta Kerberos, solicita un boleto de servicio al KDC para este servidor.

� Esta petición contiene, entre otras cosas, el TGT del usuario, el nombre del servidor que se pretende acceder y una marca temporal encriptada usando la clave de sesión entre el KDC y el usuario {marca_temporal}Kc,k.

� Cuando el KDC recibe la petición desencripta el TGT, luego extrae la clave de sesión necesaria para desencriptar el autenticador.

� Si dicho proceso es exitoso y la marca temporal es reciente, se verifica la identidad del usuario.

28



82


� El KDC prepara el boleto de servicio copiando algunos

campos contenidos en el TGT, agrega una clave de

sesión para el cliente y el servidor, Kc,s generada

aleatoriamente, establece el tiempo de vida y encripta

dicho boleto usando la clave del servidor {T}Ks

� Posteriormente el KDC envía el boleto al cliente y una

copia de la clave de sesión recién generada,

encriptada con la clave que comparte con el cliente

{Kc,s}Kc,k


83


� Cuando recibe los mensajes, el cliente desencripta y

obtiene la clave de sesión que usará con el servidor

Kc,s y envía el boleto de servicio a dicho server {T}Ks,

junto con un autenticador encriptado con esta nueva

clave de sesión {marca_temporal}Kc,s.

� El servidor desencripta el boleto, obtiene la clave de

sesión Kc,s y desencripta el autenticador. Si este

proceso fue exitoso y la marca temporal es reciente,

se autentica al usuario como válido.

� Posteriormente los datos de autorización contenidos

en el boleto determinarán si este usuario puede

acceder a los servicios que desea.


84


29



85

Formato de un Ticket

� Existen tres campos que no están encriptados, el

resto se encripta para protección usando la clave del

servidor donde el ticket será presentado.

� Campos no encriptados:

� tkt-vno: Versión del formato del ticket. Aquí la 5.

�Realm: Nombre del reino (dominio) donde el ticket fue emitido.

�Sname: Nombre del servidor


86

Formato de un Ticket (Cont.)

� Campos encriptados:

�Flags: Se usan banderas para indicar diferentes

condiciones del ticket.

�Key: Clave de sesión compartida entre el cliente y el

servidor.

�Crealm: Nombre del reino (dominio) del cliente.

�Cname: Nombre del cliente.

�Authtime: Marca temporal que el KDC especifica cuando emite un TGT.


87

Formato de un Ticket (Cont.)

�Startime: Tiempo a partir del cual el ticket es válido.

�Endtime: Tiempo en que el ticket expira.

�Renew-till: (Opcional) Máximo endtime que puede tener un ticket con la bandera RENEWABLE activada.

�Caddr: (Opcional) Una o más direcciones desde las cuales el ticket puede ser utilizado. Si se omite, el ticket puede usarse desde cualquier dirección.

�Authorization-data: Privilegios del usuario. Kerberos no interpreta este campo, su comprensión corre por cuenta del servicio donde el ticket se presentará.

30



88

Debilidades de Kerberos

� El KDC es un simple punto de falla.

� El KDC debe estar siempre disponible para manejar las solicitudes de los usuarios.

� Las claves secretas y las claves de sesión son almacenadas temporalmente en las estaciones de trabajo de los usuarios.

� Kerberos puede ser vulnerable a ataques a las passwords.

� El tráfico de red no es protegido por Kerberos si no se habilita la funcionalidad de encripción.

� Si un usuario cambia su password, la base de datos del KDC debe ser actualizada.

Access Control

Modelos de Control de Acceso


90

Modelos de Control de Acceso

� Una vez que el sujeto haya sido autenticado y su

registro de actividad iniciado, debe ser autorizado

para poder acceder a los recursos disponibles o

ejecutar acciones.

� Existen tres modelos principales de Control de

Acceso, a saber:

� Control de Acceso Discrecional

� Control de Acceso Mandatario

� Control de Acceso no Discrecional o basado en Roles

31



91

Control de Acceso Discrecional

� Le permite al propietario o creador de un objeto,

definir y controlar qué sujetos pueden acceder al

mismo.

� Se implementan frecuentemente mediante listas de

control de acceso (ACL).

� Es el mas implementado en ambientas comerciales.


92

Control de Acceso Mandatario

� Se implementa mediante el uso de etiquetas. � Los usuarios son etiquetados por nivel de importancia;

los objetos son etiquetados por su nivel de seguridad o clasificación.

� Es muy común su empleo en entornos militares donde las etiquetas más comunes son: � “Top Secret”� “Secret”� “Confidential”� “Sensitive but Unclassified (SBU)”� “Unclassified”

� En esta técnica, un sujeto está habilitado a acceder a objetos que tengan el mismo nivel de clasificación o etiqueta, o menor.


93

Control de Acceso no Discrecional (Roles)

� Define la habilidad que tiene un sujeto de acceder a

objetos conforme al rol o tarea que desempeña en la

organización.

� Son utilizados en entornos con cambios frecuentes de

personas, por esta causa el acceso se basa en una

descripción del puesto que ocupa en vez de la

identidad del sujeto.

32



94

Control de Acceso no Discrecional (Roles) (Cont.)

� Los accesos basados en roles y los basados en grupos suelen confundirse.

� Mientras que ambos actúan como “contenedores” que

almacenan usuarios en unidades de gestión, en los

“grupos” un usuario puede pertenecer a uno o más

de estos grupos, con permisos diferentes en cada uno

de ellos, incluso puede poseer permisos individuales.

En cambio en el esquema de “roles” un usuario

puede tener un único rol.


95

Otros Modelos de Control de Acceso

� El Control de Acceso basado en “Enrejados”(Lattice) es una variación del control no discrecional,

en el cual se definen límites superiores e inferiores

para cada relación existente entre un sujeto y un

objeto.

� El Control de Acceso basado en Reglas es una

variación del control mandatario, en el cual se usa un

conjunto de reglas, filtros y restricciones para

determinar lo que puede o no ocurrir en un sistema.

� Los firewalls, proxies y routers son ejemplos de este

tipo de control de acceso.

Access Control

Administración de Control de Acceso

33



97

Administración de Control de Acceso

� Existen tres tipos principales de administración de

control de acceso:

� Control de Acceso Centralizado

� Control de Acceso Descentralizado

� Control de Acceso Híbrido


98

Control de Acceso Centralizado

� Implica que toda verificación de autorización es

ejecutada por una simple entidad dentro de un

sistema.

� Este método le permite a un dispositivo, o a un único

individuo, gestionar el control de acceso.

� La carga administrativa es baja pues todo es realizado

desde un sólo lugar, sin embargo representa también

un único punto de falla.

� Ejemplos de esta metodología lo constituyen:� TACACS+� RADIUS.

� DIAMETER


99

TACACS+

� TACACS+ (Terminal Access Controller Access Control System Plus) es una versión mejorada del TACACS original.

� TACACS+ es un protocolo de Autenticación, Autorización, y Auditoría (AAA) que reside en un servidor centralizado.

� Existen al menos tres versiones de TACACS:

� TACACS

� XTACACS

� TACACS+

34



100

TACACS+ (Cont.)

� Es una versión en constante mejora de TACACS que

permite al servidor TACACS+ brindar servicios de

AAA de manera independiente.

� Cada servicio puede ser usado con su propia base de datos o puede ser usado en conjunto con los demás

servicios.

� No es compatible con las otras versiones antecesoras.

� Se encuentra como una propuesta en la IETF, pero no

es un estándar.


101

TACACS+ (Cont.)

� Permite encriptar toda la información que se

intercambia entre el cliente y el servidor.

� TACACS y sus diferentes versiones utilizan TCP

como protocolo de transporte y tienen reservado el número de puerto 49 para la conexión.


102

RADIUS

� RADIUS (Remote Authentication Dial-In User Service)

es otra alternativa para realizar AAA.

� Consiste en un sistema de seguridad distribuida que

asegura el acceso remoto a redes y las protege de accesos no autorizados.

� Según la definición del protocolo, RADIUS tiene

reservados los números de puerto 1812 (para

autenticación) y 1813 (para auditoría), pero existen muchas implementaciones que utilizan los puertos

1645 y 1646 respectivamente.

35



103

RADIUS (Cont.)

� El servidor es ejecutado en una computadora,

generalmente dentro del sitio propietario de la red,

mientras que el cliente reside en el NAS y puede estar

distribuido en toda la red.

� El NAS (Servidor de Acceso a la Red) opera como el cliente, reenviando la información de autenticación de los usuarios al servidor RADIUS configurado, actuando de acuerdo a la respuesta del servidor.

� Los servidores RADIUS son los responsables de recibir los requerimientos de los usuarios, autenticarlos y devolver toda la información necesaria para que el cliente habilite los servicios correspondientes.


104

RADIUS (Cont.)

� El servidor RADIUS puede mantener una base de datos de los usuarios de forma local, utilizar la base de datos de Windows, o un directorio LDAP.

� Las transacciones entre el cliente y el servidor son autenticadas por un secreto compartido, que no se envía por la red. Las contraseñas son enviadas en forma cifrada.

� El servidor RADIUS soporta diferentes métodos para autenticar un usuario. Soporta PPP, PAP, CHAP, MS-CHAP, Unix login, etc.


105

RADIUS

36



106

TACACS+ versus RADIUS

Provee dos métodos: asignar niveles

de privilegios a los comandos y

especificar en el perfil del usuario o

del grupo de usuarios explícitamente

el conjunto de comandos que puede

ejecutar.

Soporte multiprotocolo

Utiliza los servicios de manera

independiente. Permite autenticar

con Kerberos

Encripción de todo el tráfico entre el

cliente y el servidor

TCP

TACACS +

Administrador de Routers

Soporte multiprotocolo

Autenticación y autorización

Encripción de datos

Protocolo de capa de

transporte

No permite asignar conjuntos de comandos

habilitados o deshabilitados a los usuarios,

por lo que no es útil para realizar

autenticación de administradores de

dispositivos

No soporta algunos protocolos:

AppleTalk Remote Access (ARAP) protocol

NetBIOS Frame Protocol Control protocol

Novell Asynchronous Services Interface

(NASI)

X.25 PAD connection

Combina ambos en el mismo paquete. Se

autentica y se pasan sus permisos

Solo encripción de contraseñas

UDP

Debe implementar controles. Más complejo

RADIUS


107

DIAMETER

� Es un protocolo de autenticación que tiene la

capacidad de autenticar varios tipos de dispositivos

sobre diferentes conexiones.

� Fue desarrollado para operar con IPSec.


108

Control de Acceso Descentralizado

� Implica que toda verificación de autorización es

ejecutada por varias entidades dentro de un sistema.

� Requiere que varios equipos de personas gestionen el

control de acceso.

� La carga administrativa es alta, pero no presenta un

único punto de falla.

� Un ejemplo de esta metodología lo constituyen los

“Dominios” y sus “Relaciones de confianza”.

37



109

Control de Acceso Híbrido

� Combina el control de acceso centralizado con el

descentralizado.

� El control centralizado se utiliza para acceder a

recursos críticos de la organización:

� Logon a dominios

�Acceso a sistema de archivo

�Acceso a bases de datos, etc.

� El control descentralizado lo emplean los usuarios, a fin de determinar quiénes van a acceder a los archivos

individuales y directorios que ellos mismos crearon.

Access Control

Monitoreo, Auditoría y Logs


111

Monitoreo, Auditoría y Logs

� Monitoreo es el proceso por el cual las actividades no autorizadas en un sistema, son detectadas.

� El proceso de monitoreo es necesario para detectar acciones maliciosas de sujetos, intentos de intrusiones y fallas en el sistema.

� La capacidad de “loguear” eventos se encuentra incorporada en la mayoría de los sistemas operativos y aplicaciones.

� Cuando exista la cantidad suficiente de logs habilitados, más información existirá para poder obtener detalles sobre la ocurrencia de un determinado evento.

38


Access Control

Sistemas de Detección de Intrusos


113

Sistemas de Detección de Intrusos (IDS)

� Un IDS es un producto que automatiza la inspección

de los eventos de un sistema y la generación de los

logs correspondientes, en tiempo real.

� Son utilizados principalmente para detectar intentos de intrusión.


114

� Los ataques reconocidos por un IDS pueden provenir

de conexiones externas, códigos maliciosos, sujetos

en conexiones internas que intentan ejecutar acciones

no autorizadas, etc.

� Un IDS puede detectar actividad sospechosa,

actuando como consecuencia:

�Producir logs

�Enviar alertas a los administradores

�Bloquear el acceso a archivos de sistema importantes

� Identificar el punto de origen de la intrusión

�Reconfigurar routers y firewalls, etc.

Sistemas de Detección de Intrusos (IDS) (Cont.)

39



115

� Entre las funciones típicas de un IDS, encontramos:

�Monitoreo de eventos del sistema y comportamiento de

usuarios.

�Registro de los eventos más importantes.

�Comprobación continua del sistema.

�Detección de ataques conocidos como no conocidos.

�Operación en tiempo real.

�Generación de alarmas.

�Actualización frecuente de su base de datos.

�Auto-configuración de dispositivos de red.

IDS - Principales Funciones


116

IDS - Limitaciones

� Entre las limitaciones y problemas más importantes,

encontramos:

�Falsos positivos (Falsas alarmas).

�Falsos negativos (Ataques no detectados).

�Necesidad de actualizar constantemente su base de

datos de patrones y firmas.

�Escasa o nula defensa ante nuevos ataques o ataques

sofisticados.

�Dificultad de operar en entornos conmutados.


117

IDS - Tipos de Análisis

� Los IDS trabajan basados en algunos de los

siguientes tipos de análisis:

�Análisis de patrones

�Análisis estadístico

�Análisis de integridad

40



118

IDS - Su Relación con el Firewall

� El firewall es una herramienta de seguridad

informática basada en la aplicación de un sistema de

restricciones y excepciones.

� Los sistemas de detección de intrusiones son equivalentes a los equipos de video y a los sistemas

de sensores y alarmas contra ladrones.


119

IDS - Su Relación con el Firewall (Cont.)


120

IDS - Acciones y Contramedidas

� Un IDS frente a la detección de un evento positivo

podrá:

�Registrar la información en un servidor de logs.

�Enviar alarmas a la consola de administración.

�Disparar alarmas vía mail, pager, etc.

�Realizar un DROP del paquete intrusivo.

�Realizar un RESET de la conexión intrusiva.

�Bloquear el tráfico intruso interactuando con el Firewall

y/o router de borde.

41



121

IDS - Logs y Alarmas


122

IDS - Reset de Conexiones


123

IDS - Bloqueo de Tráfico

42



124

Tipos de IDS

� Según su arquitectura, diseño y ubicación, podemos

encontrar dos tipos de IDS a saber:

� IDS de Red (NIDS)

� IDS de Host (HIDS)


125

IDS de Red (NIDS)

� Actúan sobre un segmento de red capturando y analizando paquetes, buscando patrones que supongan algún tipo de ataque.

� Constituyen dispositivos de red configurados en modo promiscuo.

� La implementación del monitoreo basado en red o NIDS, implica la localización de dispositivos de sondeo o Sensores en determinados segmentos de la red.


126

� Se encargarán de capturar y analizar el tráfico en busca de actividades maliciosas o no autorizadas en tiempo real, y podrán tomar medidas preventivas cuando sea necesario.

� Los sensores deben ser desplegados en puntos críticos de la red, de manera que los administradores de seguridad puedan supervisar los eventos de toda la red mientras se está desarrollando, independientemente de la ubicación del objetivo del ataque.

IDS de Red (NIDS) (Cont.)

43



127

� Implementado sobre host críticos y expuestos

(Servidor web, correo).

� Permite la auditoría de los sistemas de archivos,

recursos y logs.

� Reporta los eventos a una consola central de

administración.

� Puede supervisar los procesos del sistema operativo y

proteger los recursos críticos.

� Las implementaciones actuales requieren que se

instale un software agente en el host para supervisar

las actividades y realizar el análisis correspondiente.

IDS de Host (HIDS)


128

IDS - Herramientas Relacionadas

� Existen herramientas que expanden las capacidades

de los IDS haciéndolos más eficientes contra falsos

positivos:

�Honey Pots

�Padded Cell

�Vulnerability Assessment


129

Honey Pots

� Están formados por dispositivos individuales o redes

enteras que sirven de señuelos a los intrusos.

44



130

Padded Cell

� Es similar a un Honey Pot, pero posibilita aislar al

intruso usando una manera distinta.

� Cuando un IDS detecta a un intruso, éste es

automáticamente transferido a la “padded cell”, la cual tiene un aspecto similar al de la red actual.

� Aquí el intruso no puede ejecutar actividades

maliciosas o acceder a información crítica.


131

Vulnerability Assessment

� Es utilizado para comprobar la existencia de

vulnerabilidades conocidas en nuestro sistema.

� Un Vulnerability Assessment suele consistir en la

ejecución de una serie de herramientas automáticas conocidas como “Scanners de Vulnerabilidades”, las

cuales configuradas y ejecutadas del modo correcto,

permiten al profesional de seguridad, testear el

sistema o red objetivo en busca de vulnerabilidades,

debilidades o errores comunes de configuración.


132

Vulnerability Assessment (Cont.)

� La ejecución periódica de este tipo de servicios, le

permite:

�Alertar acerca de configuraciones incorrectas en sus

firewalls, host y dispositivos de borde.

�Descubrir vulnerabilidades como resultado de cambios

en la configuración.

�Detectar la falta de parches y actualizaciones en los

sistemas de la compañía.

� Localizar debilidades y vulnerabilidades conocidas

antes de que los atacantes lo hagan.

45



133

Vulnerability Assessment (Cont.)

� A diferencia de los “Penetration Test”, la ejecución

de un “Vulnerability Assessment” tiene un carácter

menos intrusivo.

� Mientras que el primero intenta la explotación real de la debilidad o vulnerabilidad encontrada, a fin de

confirmar su existencia, el segundo apunta

específicamente a identificar la existencia de

vulnerabilidades o debilidades conocidas.

Access Control

Amenazas - Ataques


135

Ataques

� Entre los métodos de ataque más importantes,

encontramos:

�Password Crackers (Fuerza Bruta y Diccionario)

�Penetration Testing

�Denegación de Servicio (DoS)

�Spoofing

�Man-in-the-Middle

�Sniffers

46


Access Control

Referencias y Lecturas Complementarias


137

� CISSP All-in-One Exam Guide, Third Edition (All-in-One)

By Shon Harris (McGraw-Hill Osborne Media) ISBN: 0072257121

� Official (ISC)2 Guide to the CISSP Exam

By Susan Hansche (AUERBACH) ISBN: 084931707X

� The CISSP Prep Guide: Gold Edition

By Ronald L. Krutz, Russell Dean Vines (Wiley) ISBN: 047126802X

� CISSP Certification Training Guide

By Roberta Bragg (Que) ISBN: 078972801X

� CCCure.Org WebSite: http://www.cccure.org

By Clement Dupuis

� Advanced CISSP Prep Guide: Exam Q&A

By Ronald L. Krutz, Russell Dean Vines (Wiley) ISBN: 0471236632

� Information Security Management Handbook, Fifth Edition

By Harold F. Tipton, Micki Krause (Que) ISBN: 0849319978

� CISSP: Certified Information Systems Security Profesional Study Guide, Third Edition

By James M. Stewart, Ed Tittel, Mike Chapple (Sybex) ISBN: 0782144438

Referencias y Lecturas Complementarias

Access Control

Preguntas?

05-AccessControlv3

Documents

Transcript of 05-AccessControlv3