2. CREDENCIALES E IDENTIDAD [1]
Están relacionados con el aspecto de seguridad lógica. Es decir
que, luego de aplicar medidas y controles físicos a un centro de
datos, las medidas lógicas van a proteger la información.
La seguridad lógica es un conjunto de medidas destinadas a la
protección de datos y aplicaciones informáticas, así como a
garantizar el acceso a la información únicamente a las personas
autorizadas.
En la gestión de credenciales e identidad, es necesario manejar
dos propiedades de seguridad
Autenticación
Autorización
3. AUTENTICACIÓN [1]
Relacionada con la identidad de usuarios
1. Comprende la Gestión de Credenciales de Usuarios
Asignar derechos y privilegios
Restringir y auditar operaciones
Una credencial se compone de un username y un password
4. AUTENTICACIÓN [1]
One-Time-Password
En entornos elevados de seguridad, cada
vez que se desea ingresar al sistema, se usa
un password (e.g. banca electrónica)
Security Token
Dispositivo de hardware para
autenticación de usuarios en dos factores:
El PIN de usuario le autentica como
propietario del dispositivo
El dispositivo muestra un determinado
número que identifica al usuario para
usar un determinado servicio
5. AUTENTICACIÓN [1]
Identificación Biométrica
Autenticación de usuarios mediante
características personasles inalterables
como:
Huellas Digitales
Rasgos Faciales
El iris del ojo
Se instala con hardware (para
reconocimiento) y software (para
procesamiento)
6. AUTENTICACIÓN
Autenticación Fuerte [6]
La autenticación asegura que un usuario sea quien afirma ser.
Mientras más factores se utilicen para determinar la identidad de una persona,
mayor será la seguridad de la autenticación.
La autenticación fuerte se puede lograr usando al menos dos de los siguientes
factores:
Algo que usted conoce - contraseña o Número de Identificación Personal
(NIP)
Algo que usted tiene - token o tarjeta inteligente (autenticación de dos
factores)
Algo que usted es - biometría, tal como una huella dactilar (autenticación de
tres factores)
La autenticación de factores múltiples requiere múltiples medios de identificación al
iniciar la sesión
Se le considera ampliamente como el método más seguro para autenticar el acceso a
datos y aplicaciones.
7. AUTORIZACIÓN
Relacionada con el Control de Acceso discrecional y
mandatorio.
La habilidad de limitar y controlar el acceso a
computadores y aplicaciones.
Para controlar el acceso, un usuario debe primero
autenticarse para autorizar los derechos de acceso[2].
Incluyen medidas de hardware y software, incluyendo
memoria, sistemas operativos, servidores, bases de
datos y aplicaciones[3].
8. AUTORIZACIÓN
2. Control de Acceso Discrecional (DAC) [4]
Dar acceso basado en reglas especificadas por los usuarios.
Los usuarios pueden cambiar los permisos, haciendo que
esto sea una política discrecional.
Un mecanismo que implementa una política DAC debe
responder la pregunta : ¿Tiene derecho el individuo I para
accede al objeto O?
9. AUTORIZACIÓN
2. Control de Acceso Discrecional (DAC) [4]
Permisos de Acceso a Archivos implementados en los
sistemas operativos {read (r), write (w), execute (x)}
Están basados en Listas de Control de Acceso (ACL)[3]
Listas de Control de Acceso (ACL)
Restringir acceso a recursos del sistema
A nivel de red usando reglas de firewalls
A nivel de sistemas operativos, usando directivas de usuario
10. AUTORIZACIÓN
2. Control de Acceso Discrecional (DAC) [4]
Sea R la relación entre individuos, objetos y derechos:
Si (I, O, D) son elementos de R, entonces I tiene derecho D
para el objeto O
Usuario Archivo 1 Archivo 2
Juana rwx r-x
Pepe r-x rwx
12. AUTORIZACIÓN
2. Control de Acceso Discrecional (DAC) [4]
Usuario Archivo 1 Archivo 2
Juana rwx r-x
Pepe r-x rwx
13. AUTORIZACIÓN
Control de Acceso Mandatorio (MAC)[4]
Asignar derechos de acceso basados en regulaciones o
políticas de una autoridad central.
El principo usado es que la información pertenece a la
organización en lugar de a los individuos.
Una política general decreta quién tiene acceso, un
usuario individual no puede cambiar ese acceso [5].
“Migración tiene acceso al registro de salidas y entradas
del país sin el permiso de los ciudadanos”
14. AUTORIZACIÓN
Control de Acceso Mandatorio (MAC)[5]
Apparmor (Ubuntu Linux)
Dos estados en las directivas: enforce y complain
Enforce – se evita que las aplicaciones ejecuten acciones
restringidas (por defecto)
Complain – permite que se
ejecuten acciones restringidas
pero se crea un registro ‘log’
informando del evento.
15. AUTORIZACIÓN
Control de Acceso Mandatorio (MAC)[5]
Apparmor (Ubuntu Linux)
Dos estados en las directivas: enforce y complain
Enforce – se evita que las aplicaciones ejecuten acciones
restringidas (por defecto)
Complain – permite que se
ejecuten acciones restringidas
pero se crea un registro ‘log’
informando del evento.
16. AUTORIZACIÓN
Control de Acceso Mandatorio (MAC)[5]
Apparmor (Ubuntu Linux)
Para ejecutar una directiva con apparmor
17. CREDENCIALES E IDENTIDAD
Actividad:
Leer los manuales de chmod, chown, chgrp, umask y chattr
y ejemplifique el uso de cada uno de ellos
Crear dos archivo en Linux, uno de Pepe y otro de Juana y
hacer que únicamente Pepe y Juana puedan acceder a
modificar sus respectivos archivos
Los derechos de acceso básicos read (r), write (w) y execute
(x) son obvios para archivos convencionales. Cuál es su
significado para directorios?
Muestre con un ejemplo práctico, el uso de AppArmor con
las directivas de Firefox
18. BIBLIOGRAFÍA
[1] Escrivá G, et al. (2013) Seguridad Informática. Disponible en:
http://site.ebrary.com/lib/epnsp/docDetail.action?docID=10820963p0
0=information+security+management
[2] Stallings, W. (2011) Network Security Essentials, 4th edition, New
York, US; ISBN:13: 978-1587052460: Prentice-Hall
[3] Basin, D, et al. (2011) Applied Information Security: A Hands On
Approach. Disponible en:
http://download.springer.com/static/pdf/320/bok%253A978-3-642-
24474-
[4] Clarkson, M. (2014) Access Control. Disponible en:
http://www.cs.cornell.edu/courses/cs5430/2011sp/NL.accessControl.ht
ml
[5] Syracusse U. (2009) Mandatory Access Control. Disponible en:
http://www.cis.syr.edu/~wedu/Teaching/cis643/LectureNotes_New/MA
C.pdf
[6] SafeNet (2014) Autentcación Fuerte. Disponible en:
http://www.safenet-inc.com/data-protection/strong-authentication/