SlideShare una empresa de Scribd logo

1.2 autenticación y autorización

Denys Flores
Denys Flores

Autenticación vs. Autorización

Tecnología
1 de 18
AUTENTICACIÓN Y AUTORIZACIÓN SIC514 – TECNOLOGÍAS DE SEGURIDAD Ing. Denys Flores, MSc.
CREDENCIALES E IDENTIDAD [1] Están relacionados con el aspecto de seguridad lógica. Es decir que, luego de aplicar medidas y controles físicos a un centro de datos, las medidas lógicas van a proteger la información. La seguridad lógica es un conjunto de medidas destinadas a la protección de datos y aplicaciones informáticas, así como a garantizar el acceso a la información únicamente a las personas autorizadas. En la gestión de credenciales e identidad, es necesario manejar dos propiedades de seguridad Autenticación Autorización
AUTENTICACIÓN [1] Relacionada con la identidad de usuarios 1. Comprende la Gestión de Credenciales de Usuarios Asignar derechos y privilegios Restringir y auditar operaciones Una credencial se compone de un username y un password
AUTENTICACIÓN [1] One-Time-Password En entornos elevados de seguridad, cada vez que se desea ingresar al sistema, se usa un password (e.g. banca electrónica) Security Token Dispositivo de hardware para autenticación de usuarios en dos factores: El PIN de usuario le autentica como propietario del dispositivo El dispositivo muestra un determinado número que identifica al usuario para usar un determinado servicio
AUTENTICACIÓN [1] Identificación Biométrica Autenticación de usuarios mediante características personasles inalterables como: Huellas Digitales Rasgos Faciales El iris del ojo Se instala con hardware (para reconocimiento) y software (para procesamiento)
AUTENTICACIÓN Autenticación Fuerte [6] La autenticación asegura que un usuario sea quien afirma ser. Mientras más factores se utilicen para determinar la identidad de una persona, mayor será la seguridad de la autenticación. La autenticación fuerte se puede lograr usando al menos dos de los siguientes factores: Algo que usted conoce - contraseña o Número de Identificación Personal (NIP) Algo que usted tiene - token o tarjeta inteligente (autenticación de dos factores) Algo que usted es - biometría, tal como una huella dactilar (autenticación de tres factores) La autenticación de factores múltiples requiere múltiples medios de identificación al iniciar la sesión Se le considera ampliamente como el método más seguro para autenticar el acceso a datos y aplicaciones.
AUTORIZACIÓN Relacionada con el Control de Acceso discrecional y mandatorio. La habilidad de limitar y controlar el acceso a computadores y aplicaciones. Para controlar el acceso, un usuario debe primero autenticarse para autorizar los derechos de acceso[2]. Incluyen medidas de hardware y software, incluyendo memoria, sistemas operativos, servidores, bases de datos y aplicaciones[3].
AUTORIZACIÓN 2. Control de Acceso Discrecional (DAC) [4] Dar acceso basado en reglas especificadas por los usuarios. Los usuarios pueden cambiar los permisos, haciendo que esto sea una política discrecional. Un mecanismo que implementa una política DAC debe responder la pregunta : ¿Tiene derecho el individuo I para accede al objeto O?
AUTORIZACIÓN 2. Control de Acceso Discrecional (DAC) [4] Permisos de Acceso a Archivos implementados en los sistemas operativos {read (r), write (w), execute (x)} Están basados en Listas de Control de Acceso (ACL)[3] Listas de Control de Acceso (ACL) Restringir acceso a recursos del sistema A nivel de red usando reglas de firewalls A nivel de sistemas operativos, usando directivas de usuario
AUTORIZACIÓN 2. Control de Acceso Discrecional (DAC) [4] Sea R la relación entre individuos, objetos y derechos: Si (I, O, D) son elementos de R, entonces I tiene derecho D para el objeto O Usuario Archivo 1 Archivo 2 Juana rwx r-x Pepe r-x rwx
AUTORIZACIÓN 2. Control de Acceso Discrecional (DAC) [4]
AUTORIZACIÓN 2. Control de Acceso Discrecional (DAC) [4] Usuario Archivo 1 Archivo 2 Juana rwx r-x Pepe r-x rwx
AUTORIZACIÓN Control de Acceso Mandatorio (MAC)[4] Asignar derechos de acceso basados en regulaciones o políticas de una autoridad central. El principo usado es que la información pertenece a la organización en lugar de a los individuos. Una política general decreta quién tiene acceso, un usuario individual no puede cambiar ese acceso [5]. “Migración tiene acceso al registro de salidas y entradas del país sin el permiso de los ciudadanos”
AUTORIZACIÓN Control de Acceso Mandatorio (MAC)[5] Apparmor (Ubuntu Linux) Dos estados en las directivas: enforce y complain Enforce – se evita que las aplicaciones ejecuten acciones restringidas (por defecto) Complain – permite que se ejecuten acciones restringidas pero se crea un registro ‘log’ informando del evento.
AUTORIZACIÓN Control de Acceso Mandatorio (MAC)[5] Apparmor (Ubuntu Linux) Dos estados en las directivas: enforce y complain Enforce – se evita que las aplicaciones ejecuten acciones restringidas (por defecto) Complain – permite que se ejecuten acciones restringidas pero se crea un registro ‘log’ informando del evento.
AUTORIZACIÓN Control de Acceso Mandatorio (MAC)[5] Apparmor (Ubuntu Linux) Para ejecutar una directiva con apparmor
CREDENCIALES E IDENTIDAD Actividad: Leer los manuales de chmod, chown, chgrp, umask y chattr y ejemplifique el uso de cada uno de ellos Crear dos archivo en Linux, uno de Pepe y otro de Juana y hacer que únicamente Pepe y Juana puedan acceder a modificar sus respectivos archivos Los derechos de acceso básicos read (r), write (w) y execute (x) son obvios para archivos convencionales. Cuál es su significado para directorios? Muestre con un ejemplo práctico, el uso de AppArmor con las directivas de Firefox
BIBLIOGRAFÍA [1] Escrivá G, et al. (2013) Seguridad Informática. Disponible en: http://site.ebrary.com/lib/epnsp/docDetail.action?docID=10820963p0 0=information+security+management [2] Stallings, W. (2011) Network Security Essentials, 4th edition, New York, US; ISBN:13: 978-1587052460: Prentice-Hall [3] Basin, D, et al. (2011) Applied Information Security: A Hands On Approach. Disponible en: http://download.springer.com/static/pdf/320/bok%253A978-3-642- 24474- [4] Clarkson, M. (2014) Access Control. Disponible en: http://www.cs.cornell.edu/courses/cs5430/2011sp/NL.accessControl.ht ml [5] Syracusse U. (2009) Mandatory Access Control. Disponible en: http://www.cis.syr.edu/~wedu/Teaching/cis643/LectureNotes_New/MA C.pdf [6] SafeNet (2014) Autentcación Fuerte. Disponible en: http://www.safenet-inc.com/data-protection/strong-authentication/

Recomendados

Powerpoint dela seguridad y proteccion de los sistemas operativos
Powerpoint dela seguridad y proteccion de los sistemas operativosPowerpoint dela seguridad y proteccion de los sistemas operativos
Powerpoint dela seguridad y proteccion de los sistemas operativosAdriana Rodriguez
 
Introducción a la Seguridad de los Sistemas Operativos
Introducción a la Seguridad de los Sistemas OperativosIntroducción a la Seguridad de los Sistemas Operativos
Introducción a la Seguridad de los Sistemas OperativosNeyda Maritza Colmenares Medina
 
Introducción a la seguridad informática
Introducción a la seguridad informáticaIntroducción a la seguridad informática
Introducción a la seguridad informáticaJesús Moreno León
 
Seguridad y proteccion
Seguridad y proteccionSeguridad y proteccion
Seguridad y proteccionGeorgy Jose Sanchez
 
Controles de seguridad
Controles de seguridadControles de seguridad
Controles de seguridadVeidaDamara
 
4. listas de control de acceso
4. listas de control de acceso4. listas de control de acceso
4. listas de control de accesoEduardo Lange
 
Archivos Y Procesamiento
Archivos Y ProcesamientoArchivos Y Procesamiento
Archivos Y Procesamientojorgeabustillo
 
INGENIERIA SOCIAL
INGENIERIA SOCIALINGENIERIA SOCIAL
INGENIERIA SOCIALEnmer Genaro Leandro Ricra
 

Recomendados

Powerpoint dela seguridad y proteccion de los sistemas operativos
Powerpoint dela seguridad y proteccion de los sistemas operativosPowerpoint dela seguridad y proteccion de los sistemas operativos
Powerpoint dela seguridad y proteccion de los sistemas operativosAdriana Rodriguez
 
Introducción a la Seguridad de los Sistemas Operativos
Introducción a la Seguridad de los Sistemas OperativosIntroducción a la Seguridad de los Sistemas Operativos
Introducción a la Seguridad de los Sistemas OperativosNeyda Maritza Colmenares Medina
 
Introducción a la seguridad informática
Introducción a la seguridad informáticaIntroducción a la seguridad informática
Introducción a la seguridad informáticaJesús Moreno León
 
Seguridad y proteccion
Seguridad y proteccionSeguridad y proteccion
Seguridad y proteccionGeorgy Jose Sanchez
 
Controles de seguridad
Controles de seguridadControles de seguridad
Controles de seguridadVeidaDamara
 
4. listas de control de acceso
4. listas de control de acceso4. listas de control de acceso
4. listas de control de accesoEduardo Lange
 
Archivos Y Procesamiento
Archivos Y ProcesamientoArchivos Y Procesamiento
Archivos Y Procesamientojorgeabustillo
 
INGENIERIA SOCIAL
INGENIERIA SOCIALINGENIERIA SOCIAL
INGENIERIA SOCIALEnmer Genaro Leandro Ricra
 
Hacking ético
Hacking éticoHacking ético
Hacking éticoPaulo Colomés
 
Protección y Seguridad de los sistemas operativos
Protección y Seguridad de los sistemas operativosProtección y Seguridad de los sistemas operativos
Protección y Seguridad de los sistemas operativosAquiles Guzman
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redesJaime Abraham Rivera
 
Seguridad informática introduccion
Seguridad informática introduccionSeguridad informática introduccion
Seguridad informática introduccionCarolina Cols
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónAl Cougar
 
seguridad de los sistemas operativos
seguridad de los sistemas operativos seguridad de los sistemas operativos
seguridad de los sistemas operativos Carlos Guerrero
 
Los activos de seguridad de la informacion
Los activos de seguridad de la informacionLos activos de seguridad de la informacion
Los activos de seguridad de la informacionmaxol03
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaIESTP.CAP.FAP. JOSE ABELARDO QUIÑONES
 
Comparticion de recursos- Sistemas Distribuidos
Comparticion de recursos- Sistemas Distribuidos Comparticion de recursos- Sistemas Distribuidos
Comparticion de recursos- Sistemas Distribuidos Freddy Hugo Estupiñan Batalla
 
Las diez principales amenazas para las bases de datos
Las diez principales amenazas para las bases de datosLas diez principales amenazas para las bases de datos
Las diez principales amenazas para las bases de datosImperva
 
Seguridad Logica.pptx
Seguridad Logica.pptxSeguridad Logica.pptx
Seguridad Logica.pptxMario Andres Ramírez González
 
Mecanismos de seguridad informática
Mecanismos de seguridad informáticaMecanismos de seguridad informática
Mecanismos de seguridad informáticaJean Carlos Leon Vega
 
Preguntas de diagnostico sobre Seguridad Informatica
Preguntas de diagnostico sobre Seguridad InformaticaPreguntas de diagnostico sobre Seguridad Informatica
Preguntas de diagnostico sobre Seguridad InformaticaPedro Cobarrubias
 
Bases De Datos "Conceptos Basicos"
Bases De Datos "Conceptos Basicos"Bases De Datos "Conceptos Basicos"
Bases De Datos "Conceptos Basicos"Cesar David Fernandez Grueso
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógicaEve_And
 
Seguridad en los Sistemas Operativos
Seguridad en los Sistemas OperativosSeguridad en los Sistemas Operativos
Seguridad en los Sistemas OperativosLauris R Severino
 
Protección y seguridad En Los Sistemas Operativos
Protección y seguridad En Los Sistemas OperativosProtección y seguridad En Los Sistemas Operativos
Protección y seguridad En Los Sistemas OperativosValmore Medina
 
Introduccion a SGSI
Introduccion a SGSIIntroduccion a SGSI
Introduccion a SGSIAngela Cruz
 
Mecanismos de Seguridad En Informática
Mecanismos de Seguridad En InformáticaMecanismos de Seguridad En Informática
Mecanismos de Seguridad En InformáticaJunior Rincón
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaYeinny Duque
 
Presentación electiva v
Presentación electiva vPresentación electiva v
Presentación electiva vFran Deivis Rojas Marcano
 
Auditoria de la seguridad logica
Auditoria de la seguridad logicaAuditoria de la seguridad logica
Auditoria de la seguridad logica1416nb
 

Más contenido relacionado

La actualidad más candente

Protección y Seguridad de los sistemas operativos
Protección y Seguridad de los sistemas operativosProtección y Seguridad de los sistemas operativos
Protección y Seguridad de los sistemas operativosAquiles Guzman
 
Seguridad informática introduccion
Seguridad informática introduccionSeguridad informática introduccion
Seguridad informática introduccionCarolina Cols
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónAl Cougar
 
seguridad de los sistemas operativos
seguridad de los sistemas operativos seguridad de los sistemas operativos
seguridad de los sistemas operativos Carlos Guerrero
 
Los activos de seguridad de la informacion
Los activos de seguridad de la informacionLos activos de seguridad de la informacion
Los activos de seguridad de la informacionmaxol03
 
Las diez principales amenazas para las bases de datos
Las diez principales amenazas para las bases de datosLas diez principales amenazas para las bases de datos
Las diez principales amenazas para las bases de datosImperva
 
Mecanismos de seguridad informática
Mecanismos de seguridad informáticaMecanismos de seguridad informática
Mecanismos de seguridad informáticaJean Carlos Leon Vega
 
Preguntas de diagnostico sobre Seguridad Informatica
Preguntas de diagnostico sobre Seguridad InformaticaPreguntas de diagnostico sobre Seguridad Informatica
Preguntas de diagnostico sobre Seguridad InformaticaPedro Cobarrubias
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógicaEve_And
 
Seguridad en los Sistemas Operativos
Seguridad en los Sistemas OperativosSeguridad en los Sistemas Operativos
Seguridad en los Sistemas OperativosLauris R Severino
 
Protección y seguridad En Los Sistemas Operativos
Protección y seguridad En Los Sistemas OperativosProtección y seguridad En Los Sistemas Operativos
Protección y seguridad En Los Sistemas OperativosValmore Medina
 
Introduccion a SGSI
Introduccion a SGSIIntroduccion a SGSI
Introduccion a SGSIAngela Cruz
 
Mecanismos de Seguridad En Informática
Mecanismos de Seguridad En InformáticaMecanismos de Seguridad En Informática
Mecanismos de Seguridad En InformáticaJunior Rincón
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaYeinny Duque
 

La actualidad más candente (20)

Hacking ético
Hacking éticoHacking ético
Hacking ético
 
Protección y Seguridad de los sistemas operativos
Protección y Seguridad de los sistemas operativosProtección y Seguridad de los sistemas operativos
Protección y Seguridad de los sistemas operativos
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes
 
Seguridad informática introduccion
Seguridad informática introduccionSeguridad informática introduccion
Seguridad informática introduccion
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 
seguridad de los sistemas operativos
seguridad de los sistemas operativos seguridad de los sistemas operativos
seguridad de los sistemas operativos
 
Los activos de seguridad de la informacion
Los activos de seguridad de la informacionLos activos de seguridad de la informacion
Los activos de seguridad de la informacion
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Comparticion de recursos- Sistemas Distribuidos
Comparticion de recursos- Sistemas Distribuidos Comparticion de recursos- Sistemas Distribuidos
Comparticion de recursos- Sistemas Distribuidos
 
Las diez principales amenazas para las bases de datos
Las diez principales amenazas para las bases de datosLas diez principales amenazas para las bases de datos
Las diez principales amenazas para las bases de datos
 
Seguridad Logica.pptx
Seguridad Logica.pptxSeguridad Logica.pptx
Seguridad Logica.pptx
 
Mecanismos de seguridad informática
Mecanismos de seguridad informáticaMecanismos de seguridad informática
Mecanismos de seguridad informática
 
Preguntas de diagnostico sobre Seguridad Informatica
Preguntas de diagnostico sobre Seguridad InformaticaPreguntas de diagnostico sobre Seguridad Informatica
Preguntas de diagnostico sobre Seguridad Informatica
 
Bases De Datos "Conceptos Basicos"
Bases De Datos "Conceptos Basicos"Bases De Datos "Conceptos Basicos"
Bases De Datos "Conceptos Basicos"
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógica
 
Seguridad en los Sistemas Operativos
Seguridad en los Sistemas OperativosSeguridad en los Sistemas Operativos
Seguridad en los Sistemas Operativos
 
Protección y seguridad En Los Sistemas Operativos
Protección y seguridad En Los Sistemas OperativosProtección y seguridad En Los Sistemas Operativos
Protección y seguridad En Los Sistemas Operativos
 
Introduccion a SGSI
Introduccion a SGSIIntroduccion a SGSI
Introduccion a SGSI
 
Mecanismos de Seguridad En Informática
Mecanismos de Seguridad En InformáticaMecanismos de Seguridad En Informática
Mecanismos de Seguridad En Informática
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 

Similar a 1.2 autenticación y autorización

Auditoria de la seguridad logica
Auditoria de la seguridad logicaAuditoria de la seguridad logica
Auditoria de la seguridad logica1416nb
 
Si semana04 seguridad_lógica
Si semana04 seguridad_lógicaSi semana04 seguridad_lógica
Si semana04 seguridad_lógicaJorge Pariasca
 
Unidad 3: Seguridad lógica
Unidad 3: Seguridad lógicaUnidad 3: Seguridad lógica
Unidad 3: Seguridad lógicacarmenrico14
 
Seguridad y protección en los s.o
Seguridad y protección en los s.oSeguridad y protección en los s.o
Seguridad y protección en los s.oJESÚS GUERRA
 
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Jack Daniel Cáceres Meza
 
Presentacion de Seguridad Informatica
Presentacion de Seguridad InformaticaPresentacion de Seguridad Informatica
Presentacion de Seguridad InformaticaAnthoni Cedeno
 
Instituto universitario politecnico seguridad
Instituto universitario politecnico seguridadInstituto universitario politecnico seguridad
Instituto universitario politecnico seguridadmariamago30
 
Instituto universitario politecnico seguridad
Instituto universitario politecnico seguridadInstituto universitario politecnico seguridad
Instituto universitario politecnico seguridadmariamago30
 
Seguridaaaaaaaaaad♥
Seguridaaaaaaaaaad♥Seguridaaaaaaaaaad♥
Seguridaaaaaaaaaad♥97vega
 
Seguridaaaaaaaaaad♥
Seguridaaaaaaaaaad♥Seguridaaaaaaaaaad♥
Seguridaaaaaaaaaad♥978079218
 
Sistemas Operativos
Sistemas OperativosSistemas Operativos
Sistemas Operativosalica
 
Seguridad en redes informáticas
Seguridad en redes informáticasSeguridad en redes informáticas
Seguridad en redes informáticaschanel-bullicolor
 
Seguridad En Sistemas Distribuidos
Seguridad En Sistemas DistribuidosSeguridad En Sistemas Distribuidos
Seguridad En Sistemas DistribuidosHECTOR JAVIER
 
Auditoria de la seguridad lógica
Auditoria de la seguridad lógicaAuditoria de la seguridad lógica
Auditoria de la seguridad lógicabertcc
 

Similar a 1.2 autenticación y autorización (20)

Presentación electiva v
Presentación electiva vPresentación electiva v
Presentación electiva v
 
Auditoria de la seguridad logica
Auditoria de la seguridad logicaAuditoria de la seguridad logica
Auditoria de la seguridad logica
 
Si semana04 seguridad_lógica
Si semana04 seguridad_lógicaSi semana04 seguridad_lógica
Si semana04 seguridad_lógica
 
Unidad 3: Seguridad lógica
Unidad 3: Seguridad lógicaUnidad 3: Seguridad lógica
Unidad 3: Seguridad lógica
 
Seguridad y protección en los s.o
Seguridad y protección en los s.oSeguridad y protección en los s.o
Seguridad y protección en los s.o
 
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
Curso: Control de acceso y seguridad: 08 Controles de la ISO/IEC 27002 relaci...
 
Presentacion de Seguridad Informatica
Presentacion de Seguridad InformaticaPresentacion de Seguridad Informatica
Presentacion de Seguridad Informatica
 
Instituto universitario politecnico seguridad
Instituto universitario politecnico seguridadInstituto universitario politecnico seguridad
Instituto universitario politecnico seguridad
 
Instituto universitario politecnico seguridad
Instituto universitario politecnico seguridadInstituto universitario politecnico seguridad
Instituto universitario politecnico seguridad
 
Alonso hernandez marcos de jesus
Alonso hernandez marcos de jesusAlonso hernandez marcos de jesus
Alonso hernandez marcos de jesus
 
Seguridaaaaaaaaaad♥
Seguridaaaaaaaaaad♥Seguridaaaaaaaaaad♥
Seguridaaaaaaaaaad♥
 
Seguridaaaaaaaaaad♥
Seguridaaaaaaaaaad♥Seguridaaaaaaaaaad♥
Seguridaaaaaaaaaad♥
 
Nesesidades que cubren
Nesesidades que cubrenNesesidades que cubren
Nesesidades que cubren
 
Sistemas Operativos
Sistemas OperativosSistemas Operativos
Sistemas Operativos
 
Sistemas Operativos
Sistemas OperativosSistemas Operativos
Sistemas Operativos
 
Seguridad en redes informáticas
Seguridad en redes informáticasSeguridad en redes informáticas
Seguridad en redes informáticas
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad Lógica
 
Seguridad En Sistemas Distribuidos
Seguridad En Sistemas DistribuidosSeguridad En Sistemas Distribuidos
Seguridad En Sistemas Distribuidos
 
Auditoria de la seguridad lógica
Auditoria de la seguridad lógicaAuditoria de la seguridad lógica
Auditoria de la seguridad lógica
 
Seguridad en redes de computadores
Seguridad en redes de computadoresSeguridad en redes de computadores
Seguridad en redes de computadores
 

Último

POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 

Último (13)

POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 

1.2 autenticación y autorización

  • 1. AUTENTICACIÓN Y AUTORIZACIÓN SIC514 – TECNOLOGÍAS DE SEGURIDAD Ing. Denys Flores, MSc.
  • 2. CREDENCIALES E IDENTIDAD [1] Están relacionados con el aspecto de seguridad lógica. Es decir que, luego de aplicar medidas y controles físicos a un centro de datos, las medidas lógicas van a proteger la información. La seguridad lógica es un conjunto de medidas destinadas a la protección de datos y aplicaciones informáticas, así como a garantizar el acceso a la información únicamente a las personas autorizadas. En la gestión de credenciales e identidad, es necesario manejar dos propiedades de seguridad Autenticación Autorización
  • 3. AUTENTICACIÓN [1] Relacionada con la identidad de usuarios 1. Comprende la Gestión de Credenciales de Usuarios Asignar derechos y privilegios Restringir y auditar operaciones Una credencial se compone de un username y un password
  • 4. AUTENTICACIÓN [1] One-Time-Password En entornos elevados de seguridad, cada vez que se desea ingresar al sistema, se usa un password (e.g. banca electrónica) Security Token Dispositivo de hardware para autenticación de usuarios en dos factores: El PIN de usuario le autentica como propietario del dispositivo El dispositivo muestra un determinado número que identifica al usuario para usar un determinado servicio
  • 5. AUTENTICACIÓN [1] Identificación Biométrica Autenticación de usuarios mediante características personasles inalterables como: Huellas Digitales Rasgos Faciales El iris del ojo Se instala con hardware (para reconocimiento) y software (para procesamiento)
  • 6. AUTENTICACIÓN Autenticación Fuerte [6] La autenticación asegura que un usuario sea quien afirma ser. Mientras más factores se utilicen para determinar la identidad de una persona, mayor será la seguridad de la autenticación. La autenticación fuerte se puede lograr usando al menos dos de los siguientes factores: Algo que usted conoce - contraseña o Número de Identificación Personal (NIP) Algo que usted tiene - token o tarjeta inteligente (autenticación de dos factores) Algo que usted es - biometría, tal como una huella dactilar (autenticación de tres factores) La autenticación de factores múltiples requiere múltiples medios de identificación al iniciar la sesión Se le considera ampliamente como el método más seguro para autenticar el acceso a datos y aplicaciones.
  • 7. AUTORIZACIÓN Relacionada con el Control de Acceso discrecional y mandatorio. La habilidad de limitar y controlar el acceso a computadores y aplicaciones. Para controlar el acceso, un usuario debe primero autenticarse para autorizar los derechos de acceso[2]. Incluyen medidas de hardware y software, incluyendo memoria, sistemas operativos, servidores, bases de datos y aplicaciones[3].
  • 8. AUTORIZACIÓN 2. Control de Acceso Discrecional (DAC) [4] Dar acceso basado en reglas especificadas por los usuarios. Los usuarios pueden cambiar los permisos, haciendo que esto sea una política discrecional. Un mecanismo que implementa una política DAC debe responder la pregunta : ¿Tiene derecho el individuo I para accede al objeto O?
  • 9. AUTORIZACIÓN 2. Control de Acceso Discrecional (DAC) [4] Permisos de Acceso a Archivos implementados en los sistemas operativos {read (r), write (w), execute (x)} Están basados en Listas de Control de Acceso (ACL)[3] Listas de Control de Acceso (ACL) Restringir acceso a recursos del sistema A nivel de red usando reglas de firewalls A nivel de sistemas operativos, usando directivas de usuario
  • 10. AUTORIZACIÓN 2. Control de Acceso Discrecional (DAC) [4] Sea R la relación entre individuos, objetos y derechos: Si (I, O, D) son elementos de R, entonces I tiene derecho D para el objeto O Usuario Archivo 1 Archivo 2 Juana rwx r-x Pepe r-x rwx
  • 11. AUTORIZACIÓN 2. Control de Acceso Discrecional (DAC) [4]
  • 12. AUTORIZACIÓN 2. Control de Acceso Discrecional (DAC) [4] Usuario Archivo 1 Archivo 2 Juana rwx r-x Pepe r-x rwx
  • 13. AUTORIZACIÓN Control de Acceso Mandatorio (MAC)[4] Asignar derechos de acceso basados en regulaciones o políticas de una autoridad central. El principo usado es que la información pertenece a la organización en lugar de a los individuos. Una política general decreta quién tiene acceso, un usuario individual no puede cambiar ese acceso [5]. “Migración tiene acceso al registro de salidas y entradas del país sin el permiso de los ciudadanos”
  • 14. AUTORIZACIÓN Control de Acceso Mandatorio (MAC)[5] Apparmor (Ubuntu Linux) Dos estados en las directivas: enforce y complain Enforce – se evita que las aplicaciones ejecuten acciones restringidas (por defecto) Complain – permite que se ejecuten acciones restringidas pero se crea un registro ‘log’ informando del evento.
  • 15. AUTORIZACIÓN Control de Acceso Mandatorio (MAC)[5] Apparmor (Ubuntu Linux) Dos estados en las directivas: enforce y complain Enforce – se evita que las aplicaciones ejecuten acciones restringidas (por defecto) Complain – permite que se ejecuten acciones restringidas pero se crea un registro ‘log’ informando del evento.
  • 16. AUTORIZACIÓN Control de Acceso Mandatorio (MAC)[5] Apparmor (Ubuntu Linux) Para ejecutar una directiva con apparmor
  • 17. CREDENCIALES E IDENTIDAD Actividad: Leer los manuales de chmod, chown, chgrp, umask y chattr y ejemplifique el uso de cada uno de ellos Crear dos archivo en Linux, uno de Pepe y otro de Juana y hacer que únicamente Pepe y Juana puedan acceder a modificar sus respectivos archivos Los derechos de acceso básicos read (r), write (w) y execute (x) son obvios para archivos convencionales. Cuál es su significado para directorios? Muestre con un ejemplo práctico, el uso de AppArmor con las directivas de Firefox
  • 18. BIBLIOGRAFÍA [1] Escrivá G, et al. (2013) Seguridad Informática. Disponible en: http://site.ebrary.com/lib/epnsp/docDetail.action?docID=10820963p0 0=information+security+management [2] Stallings, W. (2011) Network Security Essentials, 4th edition, New York, US; ISBN:13: 978-1587052460: Prentice-Hall [3] Basin, D, et al. (2011) Applied Information Security: A Hands On Approach. Disponible en: http://download.springer.com/static/pdf/320/bok%253A978-3-642- 24474- [4] Clarkson, M. (2014) Access Control. Disponible en: http://www.cs.cornell.edu/courses/cs5430/2011sp/NL.accessControl.ht ml [5] Syracusse U. (2009) Mandatory Access Control. Disponible en: http://www.cis.syr.edu/~wedu/Teaching/cis643/LectureNotes_New/MA C.pdf [6] SafeNet (2014) Autentcación Fuerte. Disponible en: http://www.safenet-inc.com/data-protection/strong-authentication/