Seguridad InformSeguridad Informááticatica

Derechos reservados conforme a la Ley de derechos del autor.

Prohibida la reproducción total o parcial de esta obra,por cualquier medio, sin autorización escrita del autor.

Seguridad InformSeguridad InformááticaticaControl de AccesoControl de Acceso

Concepto y Modelo

Identificación y autenticación

Autorización

Responsabilidad

Mejores prácticas

Monitoreo

Concepto y Modelo

Identificación y autenticación

Autorización

Responsabilidad

Mejores prácticas

Monitoreo

Control de AccesoConcepto

Control de AccesoControl de AccesoConceptoConcepto

SUJETOS

UsuariosProgramasProcesosArchivos

Monitor de Referencia

OBJETOS

RecursosProgramasProcesosArchivosMedios

Entidades pasivas

Entidades activas

Métodos y mecanismos de seguridad que controlan la forma en que usuarios y sistemas se comunican e interactúan con otros sistemas y recursos

Control de AccesoModelo

Control de AccesoControl de AccesoModeloModelo

IDENTIFICACION

AUTENTICACION

AUTORIZACION

Para que un usuario pueda acceder a un recurso, se debe determinar que el individuo es quien dice ser, si posee las credenciales necesarias

y si le han sido otorgados los derechos o privilegios para realizar la acción requerida. Una vez aprobado, es necesario registrar sus

acciones para asignarles responsabilidad.

RESPONSABILIDAD

Usuario# empleado# cuentaBiométrico

Pass wordPass phraseToken, PINFirma digital

RegistroMonitoreoBitácoras

CriterioDefaultNeed-to-know

Para la mayoría de los sistemas, I&A es la primer línea de defensa.Es un control que impide que personas o procesos no autorizados accedan a un sistema.Si los usuarios no son identificados y autenticados debidamente, las organizaciones están en mayor riesgo de acceso no autorizado.La responsabilidad de un usuario requiere que se vinculen las actividades en el sistema con personas específicas y, por lo tanto, requiere que el sistema identifique a los usuarios.

Identificación y AutenticaciónIdentificaciIdentificacióón y Autenticacin y Autenticacióónn

STOP

Identificación y AutenticaciónProceso

IdentificaciIdentificacióón y Autenticacin y AutenticacióónnProcesoProceso

Proceso de Identificación: se expresa información pública. Proceso de Autenticación: se provee información privada. Existen tres principales formas:– Lo que uno tiene (llaves físicas o tarjetas inteligentes).– Lo que uno es (dispositivos biométricos).– Lo que uno sabe (contraseñas).

Un proceso de autenticación fuerte, utiliza 2 de estas tres opciones.

La identificación del usuario asociado con una contraseña es el mecanismo más común de I&A.Una contraseña ideal debe ser fácil de recordar para el usuario pero difícil de adivinar para un perpetrador.La asignación de la contraseña inicial puede ser hecha por el administrador de seguridad o generada por el sistema. Cuando el usuario se registra por primera vez, el sistema debería forzar inmediatamente a un cambio de contraseña para asegurar la confidencialidad.La asignación de contraseña inicial deben generarse al azar y las mismas debe ser asignadas siempre que sea posible sobre bases individuales y no por grupo.Las cuentas que nunca se utilicen con o sin asignación de una contraseña inicial debe ser eliminadas del sistema.Si se teclea una contraseña equivocada un número definido de veces (por lo general tres), el logon-ID debe ser desactivado automáticamente (por un periodo significativo de tiempo).

Identificación y AutenticaciónContraseñas

IdentificaciIdentificacióón y Autenticacin y AutenticacióónnContraseContraseññasas

Si un logon-ID ha sido desactivado:– El usuario debe notificar al administrador de seguridad.– El administrador de seguridad entonces debe reactivar el logon-ID

únicamente después de verificar la identidad del usuario del usuario (sistema de pregunta/respuesta), devolviéndole la llamada después de verificar la extensión del usuario o llamando al supervisor del usuario para verificarlo.

Las contraseñas deben de estar internamente encriptadas sin posibilidad de desencripción.Las contraseñas no deben ser mostradas en ninguna forma:– Pantallas de computadora.– Cuando se está ingresando.– Reportes de computadora.– Archivos de índices.– Escritas en pedazos de papel dentro del escritorio personal.

La contraseña debe ser cambiada periódicamente. El cambio debe ser hecho por el usuario en su propia estación de trabajo y no en la terminal del administrador ni en ningún otro lugar donde se pudiera observar o registrar su nueva contraseña.El mejor método es que el sistema obligue el cambio notificando al usuario antes de la fecha de expiración de la contraseña. El cambio voluntario es justamente eso, voluntario; de modo que seguramente no se hará.

Identificación y AutenticaciónContraseñas

IdentificaciIdentificacióón y Autenticacin y AutenticacióónnContraseContraseññasas

Deben ser únicas para cada persona: si más de una persona conoce la contraseña, no se puede responsabilizar al usuario para todas las actividades realizadas con su cuenta.Idealmente deben tener una longitud de ocho caracteres. Deben permitir una combinación de caracteres alfabéticos, numéricos, en mayúsculas, minúsculas y caracteres especiales.No deben ser especialmente identificables con el usuario (nombre propio, esposa, mascota). Algunas organizaciones prohíben el uso de vocales.El sistema no debe permitir que se usen contraseñas anteriores una vez que éstas hayan cambiado.Los logon-ID que no se hayan usado después de un tiempo determinado, deben ser desactivados para prevenir posibles abusos.El sistema debe desconectar automáticamente la sesión de logon si no ha ocurrido actividad alguna por un periodo de tiempo determinado. Así reduce el riesgo de abuso de una sesión activa que quedó desatendida (time-out).Como un control adicional, los usuarios con privilegios deben como norma colocar un carácter no imprimible ASCII por ejemplo NUM-LOCK (ALT-255) en su contraseña, para reducir la probabilidad de comprometerla ante un cracking.

Identificación y AutenticaciónContraseñas

IdentificaciIdentificacióón y Autenticacin y AutenticacióónnContraseContraseññasas

Identificación y AutenticaciónContraseñas

IdentificaciIdentificacióón y Autenticacin y AutenticacióónnContraseContraseññasas

Es una técnica de autenticación de dos factores: tarjetas inteligentes controladas por microprocesadores, generan contraseñas que son válidas solo para un inicio de sesión.Los usuarios ingresan esta clave junto con una contraseña que ellos hayan memorizado para obtener el acceso al sistema.Esta técnica involucra algo que uno tiene (un dispositivo sujeto a robo) y algo que uno sabe (un número de identificación personal).Dichos dispositivos obtienen su estado de contraseña de una vez debido a que la contraseña tiene características para una única sesión (ID o tiempo) añadidas a la contraseña.

Identificación y Autenticación(Token device) contraseña de una sola vez

IdentificaciIdentificacióón y Autenticacin y Autenticacióónn((TokenToken device) contrasedevice) contraseñña de una sola veza de una sola vez

Capacidad de procesamientoResistente golpesCada tarjeta del usuario contiene información única:

Identidad, número de identificación personal, privilegios, etc.El microchip de la tarjeta realiza una transformación secreta del número de identificación personal del usuario.Guarda un número de identificación personal ilegible en la memoria.

El usuario inserta la tarjeta e introduce su número de identificación personal al lector.

Identificación y AutenticaciónTarjetas inteligentes

IdentificaciIdentificacióón y Autenticacin y AutenticacióónnTarjetas inteligentesTarjetas inteligentes

Son el mejor medio de autenticar la identidad de un usuario con base en un atributo o rasgo único mesurable para verificar la identidad.Se utilizan como medio de identificación para el control de acceso físico y como medio de autenticación para el control de acceso lógico.Tradicionalmente, los sistemas biométricos se han usado poco. Sin embargo, debido a los adelantos tecnológicos, se están volviendo una opción viable.Involucra el uso de un lector para interpretar las características biométricas de la persona. Ciertas características biométricas pueden cambiar.La entrada de datos biométricos ocurre por medio de un proceso de matriculación almacenando una característica particular de un usuario.

Identificación y AutenticaciónDispositivos Biométricos

IdentificaciIdentificacióón y Autenticacin y AutenticacióónnDispositivos BiomDispositivos Bioméétricostricos

El desempeño de los dispositivos se determina por medio de tres medidas cuantitativas para categorizar el nivel de precisión:– Error Tipo I. Tasa falsa de rechazo (FRR – False Rejection Rate). Es

el número de veces que una persona autorizada es rechazada falsamente por el sistema.

– Error Tipo II. Tasa falsa de aceptación (FAR – False AcceptanceRate). Es el número de veces que una persona no autorizada es falsamente aceptada por el sistema.

– CER – Crossover Error Rate. El punto en que las dos tasas anteriores son iguales. Cuando más baja es ésta, más efectiva es el mecanismo.

Consideraciones para seleccionar dispositivos biométricos son:– CER.– Aceptación.– Tiempo de matriculación.– Tiempo de respuesta.– Recursos utilizados.– Costo.

Identificación y Autenticación Dispositivos Biométricos

IdentificaciIdentificacióón y Autenticacin y Autenticacióón n Dispositivos BiomDispositivos Bioméétricostricos

Exploración de Palma: analiza surcos, valles y otras características.Geometría de la mano: medición de las características físicas de la mano desde una perspectiva tridimensional.Reconocimiento de Iris: medición de patrones, colores, anillos, coronas, (260 de 400 características).Retina: mapeo del patrón de capilaridad de la retina del ojo.Huella dactilar: la plantilla generada (minutiae) mide las bifurcaciones, divergencias, espacios cerrados, terminaciones y valles en el patrón de surcos.Reconocimiento de voz: registro de características de timbre y modulación.Rostro: genera matrices bi ó tridimensionales de mapeo o mediciones de distancias entre características específicas (ojos, nariz y boca).Dinámica de firma: analiza las características del proceso de firma (velocidad, presión, direcciones, longitud del trazo y los cuando la pluma es levantada del papel).

Identificación y Autenticación Sistemas Biométricos

IdentificaciIdentificacióón y Autenticacin y Autenticacióón n Sistemas BiomSistemas Bioméétricostricos

El acceso a la información debe ser otorgado en forma documentada sobre la necesidad de saber, donde hay un legítimo requerimiento del negocio y basado en los principios de menor privilegio y segregación de tareas.Las organizaciones deben establecer criterios básicos para asignar el acceso a los datos, programas, dispositivos y recursos específicos, incluyendo:– Quién tendrá acceso.– Qué tipo de acceso estará autorizado.

Estos principios están relacionados con las cuatro capas de seguridad provistas para:– Redes– Plataformas– Base de Datos– Aplicaciones

AutorizaciónAutorizaciAutorizacióónn

Para resolver una situación en la que los usuarios tiene que recordar un número creciente de contraseñas, se desarrolló el concepto de una sola autenticación.Es un proceso de consolidación de las funciones de administración, autenticación y autorización de las diversas plataformas de la empresa a través de una sola autenticación que interactúa con:– Sistemas cliente-servidor distribuidos.– Aplicaciones mainframe.– Seguridad de sistema anfitrión (host).– Seguridad de estación de trabajo.– Seguridad de red, incluyendo acceso remoto.

La primera instancia en la que se ingresan las credenciales de usuario se llama dominio primario. Todo recurso, aplicación o plataforma que usa esas credenciales se llama dominio secundario.Para tener éxito, el SSO debe tener un entendimiento común de la identidad del usuario en todas las plataformas.

AutorizaciónFirma única (Single Sign On)

AutorizaciAutorizacióónnFirma Firma úúnica (Single nica (Single SignSign OnOn))

Los usuarios seleccionan una contraseña más fuerte, ya que la necesidad de contraseña múltiples y sincronizadas de cambio se evitan.Los tiempos de desconexión automática (time out) y umbrales de intentos fallidos se aplican de manera uniforme.Mejora la efectividad al desactivar todas las cuentas de red/computadora para los usuarios terminados.Mejora las capacidades del administrador para administrar los usuarios y las configuraciones de usuario para todos los sistemas asociados.Reduce los costos generales administrativos para volver a reestablecer contraseñas olvidadas.Un proceso de logon de usuarios más eficiente y efectivo.Mejora la seguridad.

AutorizaciónVentajas firma única

AutorizaciAutorizacióónnVentajas firma Ventajas firma úúnicanica

Se puede introducir un solo punto de falla.Pocas soluciones de software se ajustan a todos los ambientes principales de sistemas operativos; se debe preparar una combinación de soluciones a la medida para la arquitectura de TI.Es posible que se requiera un desarrollo y mantenimiento substancial de interfases.El servidor de SSO y otra seguridad del sistema anfitrión deben endurecerse ya que las debilidades pueden ser ahora explotadas en todas las plataformas.La mayoría de los paquetes de software de SSO incluyen funciones adicionales de control de acceso por las cuales se cobra separadamente, aún si las mismas son redundantes de cualquier control existente.

AutorizaciónDesventajas firma única

AutorizaciAutorizacióónnDesventajas firma Desventajas firma úúnicanica

Kerberos (proyecto Athena del MIT) es un ejemplo de SSO: servicio de autenticación por parte de un tercero confiable para validar servicios y usuarios en un entorno de computación distribuida.La función del servicio de autenticación es permitir que tanto los usuarios como los servidores se autentiquen a si mismos en un entorno de computación distribuida.Diseñado para que las contraseñas no tengan que viajar en la red, donde intrusos puedan capturarlas.Un servidor central de distribución proporciona tickets a los usuarios, para el acceso a los hosts y servicios. Estos tickets son enviados encriptados por la red.Los mensajes de supuestos anfitriones (hosts), estaciones de trabajo, servidores y redes de trabajo, son vulnerables.Las entidades involucradas son:– AS: Servidor de Autenticación.– El usuario (cliente) que requiere el servicio.– KDC: Key Distribution Center– TGS: Ticket Granting Service– El servidor donde se encuentra el servicio.

AutorizaciónKerberos

AutorizaciAutorizacióónnKerberosKerberos

AS

TGS

1. El usuario se autentica al AS.

2. El AS envía el ticket inicial al usuario.

3. El usuario solicita acceso al servidor de archivos.

4. El TGS crea nuevo ticket con llaves de sesión.

5. El usuario extrae las llaves de sesión y envía ticket al servidor de archivos.

1.

23

4KDC

Servidor de Archivos Principal

Usuario

Ticket Inicial

5Ticket

Llave deSesión

Llave deSesión

AutorizaciónKerberos

AutorizaciAutorizacióónnKerberosKerberos

RADIUSServicio al usuario de autenticación remota por acceso telefónico.Servidor de autenticación y contraseñas dinámicas.Comercialmente disponible.Administración de contraseñas.

TACACSTerminal access controller access control system.Le permite a un dispositivo de red introducir el nombre del usuario y contraseña estática.

TACACS+TACACS con autenticación extendida de usuarios (2 factores).Utiliza contraseñas dinámicas a través de testigos de seguridad.

AutorizaciónEstándares de control de acceso remoto

AutorizaciAutorizacióónnEstEstáándares de control de acceso remotondares de control de acceso remoto

Control de acceso obligatorio (MAC)La decisión del sistema para otorgar acceso se basa en el privilegio (autorización) del sujeto (usuario) y la confidencialidad (clasificación) del objeto (archivo).Requiere etiquetas (clearance label vs classification label).Acceso basado en Reglas (rule-based).

Control de acceso discrecional (DAC)El dueño determina quien tiene acceso y que privilegios pueden tener.Acceso basado en la Identidad (identity-based), en el usuario (user-based) o en un hibrido.

Control de acceso no discrecional (NDAC)Una autoridad central determina quien tiene acceso y que privilegios pueden tener (políticas de seguridad).Acceso basado en el Rol (role-based), en tareas (task-based) o en rangos (lattice-based).

AutorizaciónModelos de control de acceso

AutorizaciAutorizacióónnModelos de control de accesoModelos de control de acceso

Interfaces restringidas: se restringe el acceso del usuario a funciones específicas (menús, vistas de la BD, bloqueo de opciones).Matriz de control de acceso (sujetos vs objetos).Tabla de capacidades:

Con identificadores protegidos (objetos).Sistema basado en la capacidad (ticket).

Listas de control de acceso (ACL), con los sujetos autorizados a acceder a algún objeto.Control de acceso dependiente del contenido: provee más control de acceso granular. Se aplica especialmente a sistemas de BD.

AutorizaciónTecnologías de control de acceso

AutorizaciAutorizacióónnTecnologTecnologíías de control de accesoas de control de acceso

AccountabilityRendimiento de cuentas

AccountabilityAccountabilityRendimiento de cuentasRendimiento de cuentas

Funciones de Auditoría y control.Verificar cumplimiento de políticas.Disuadir acciones impropias.Herramientas de investigación.Mecanismos:

Revisión de pistas de auditoría.Keystroke monitoring.

Protección de evidencia.

Reutilización de objetos:Reasignación de un medio que contenía uno o más objetos a un sujeto (page frame, sector de disco, cinta magnética).

Reasignación segura; el medio no debe contener información residual:Formatear discos antes de copiar.Desmagnetizar o reescribir sobre cintas y discos.

Radiación de todo equipo electrónico:Dispositivos de audición

Detectar emisiones.Reproducir canales de información / imágenes de video.Componentes baratos.

Mejores prácticas de control de accesoMejores prMejores práácticas de control de accesocticas de control de acceso

Es el proceso de identificar el uso no autorizado de recursos, a través de técnicas que pretenden detectar ataques a la computadora o red, alobservar registros de tráfico u otra información de comportamiento.

Las detecciones automatizadas de intrusiones examinan los registros corrientes de auditoría y comparan la actividad del usuario con los perfiles de las actividades esperadas, para inferir en tiempo real si estáocurriendo una intrusión.

Tipos de IDS por su ubicación:Host-based, monitorea un sistema en particular.Network-based, monitorean la red o un segmento de ésta.

Tipos de IDS por sus características:Knowledge o Signature-based.Behavior o Statistical-based.

Monitoreo de control de accesoDetección de intrusos

Monitoreo de control de accesoMonitoreo de control de accesoDetecciDeteccióón de intrusosn de intrusos

Una vez que la violación ha sido identificada:– La persona que identificó al trasgresor debe referir el

problema al administrador de seguridad.– El administrador de seguridad y la gerencia responsable deben

investigar y determinar la gravedad de la violación. La mayoría son intencionales.

– Si el intento de violación es serio, debe ser notificada la gerencia ejecutiva, no los oficiales que hacen cumplir la ley. La participación de agencias externas puede tener como resultado una publicidad adversa que en última instancia es más perjudicial que la violación original.

– Debe haber procedimientos para administrar las relaciones públicas y la prensa.

– Para facilitar el debido manejo, deben existir lineamientos escritos que identifiquen los diversos tipos y niveles de violación y su tratamiento.

– La acción disciplinaria debe ser un proceso formal aplicado de manera consistente. Los procedimientos deben ser correctos desde el punto de vista legal y ético para reducir el riesgo de acción legal en contra de la compañía.

Monitoreo de control de accesoDetección de intrusos

Monitoreo de control de accesoMonitoreo de control de accesoDetecciDeteccióón de intrusosn de intrusos

Administrativo

Técnico

Físico

Combinación de controlesCombinaciCombinacióón de controlesn de controles

PREVENTIVO

PyPPrácticas RHEtiquetadoConcientización

ContraseñasInterfaz usuarioProtocolosEncripción

PerímetroMantrapGafetesGuardias/perros

DETECTIVO

PyPPrácticas RHConcientizaciónRegistros auditoria

Reportes variaciónClipping levelProtección de registros auditoria

Detectores movimiento y térmicosCámaras video