El documento presenta una introducción a la seguridad lógica, incluyendo temas como control de acceso mediante identificación, autenticación y roles, LDAP, archivos y directorios, administración de usuarios, y amenazas a sistemas de información. Se describen conceptos como roles, privilegios, usuarios y perfiles para control de acceso basado en roles.
Curso introducción a la seguridad informática: 04 Seguridad lógica
1. 1
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Introducción a la seguridad informática
Ingeniería de Sistemas y Seguridad Informática
Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com
Sesiones 05 y 06
Seguridad lógica
2. 2
Mg, Ing. Jack Daniel Cáceres Meza, PMP
¿Recordamos?
Establecer
la seguridad
lógica para
proteger
datos,
aplicaciones
y sistemas
operativos.
3. 3
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Recordemos:
“todo lo que no está permitido debe estar prohibido”
El activo mas importante que se posee es la información y por tanto
deben existir técnicas mas allá de la seguridad física que la aseguren,
estas técnicas las brinda la seguridad lógica.
Los diversos niveles de la información requerirán diferentes medidas y
niveles de seguridad.
Entonces debemos:
Asegurar que los usuarios puedan trabajar sin una supervisión minuciosa
y no puedan modificar los programas ni los archivos que no
correspondan.
Asegurar que se estén utilizando los datos, archivos y programas
correctos en y por el procedimiento correcto analizando periódicamente
los mismos.
Verificar que la información transmitida sea recibida sólo por el
destinatario al cual ha sido enviada y que la información recibida sea la
misma que la transmitida.
Disponer de pasos alternativos de emergencia para la transmisión de
información.
4. 4
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Control de acceso
Identificación:
Cuando el usuario se da a conocer en el sistema
Autenticación:
Verificación que se realiza en el sistema sobre la identificación
Técnicas de autenticación
Algo que solamente el individuo conoce: Una clave, un pin, otros
Algo que la persona posee: Una tarjeta
Algo que el individuo es: Huella digital o voz
Algo que el individuo es capaz de hacer: Patrones de escritura
¿Combinaciones?
5. 5
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Control de acceso
Control de acceso basado en roles (RBAC): roles y privilegios:
CREATE ROLE miPrimerRol;
GRANT SELECT, INSERT, UPDATE, DELETE ON tabla
TO miPrimerRol;
programador, líder del proyecto, administrador, otros
Derecho perfectamente definido que un proceso requiere para
realizar una operación
Perfil de derechos
Disminuyen el riesgo de seguridad
asociado a un usuario o un proceso
Concepto Significado
Privilegio Permiso para realizar una acción, asignable a un
usuario o un rol
Rol Conjunto de privilegios, asignables a un usuario o un
rol
Usuario Colección de objetos y privilegios identificado con un
nombre y password
Perfil Conjunto de restricciones relativas al uso de
recursos, y asignable a usuarios. Un usuario sólo
puede tener un perfil
Recurso Uso susceptible de ser restringido, asignable a un
perfil
6. 6
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Control de acceso
Limitaciones a los servicios
Licencias de uso limitadas
Transacciones
Solicitar una clave al requerir el procesamiento de una transacción
determinada
Interno
Contraseñas, cifrado, ACL, etiquetas de seguridad, límites sobre la
interfase de usuario
Externo
Acceso público, acceso a personal contratado, defensa perimetral
Administrativo
Políticas, normas, procedimientos
7. 7
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Lightweight Directory Access Protocol -LDAP o Active
Directory
RFCs 2251-2256 y 2829-2830
Reglas para acceder a la información de un directorio
Modelo que define forma y carácter de la información
Espacio de nombres que define la manera de referenciar y organizar
información
Formato de nombre distinguido (DN)
Estándar
RFC 1779
Codificación ASN.1
Orden little-endian (componente más significativo al final).
7/27
10. 10
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Lightweight Directory Access Protocol
Key Attribute (X.520 keys)
----------------------------------------------------
CN CommonName
L LocalityName
ST StateOrProvinceName
O OrganizationName
OU OrganizationalUnitName
C CountryName
STREET StreetAddress
10/27
11. 11
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Lightweight Directory Access Protocol
Ejemplos:
CN=L. Eagle, O="Sue, Grabbit and Runn", C=GB
<CN=Christian Huitema; O=INRIA; C=FR>
CN=Marshall T. Rose, O=Dover Beach Consulting,
L=Santa Clara, ST=California, C=US
CN=FTAM Service, CN=Bells, OU=Computer Science, O=University College
London, C=GB
CN=Markus Kuhn, O=University of Erlangen, C=DE
http://www.oit.duke.edu/da/ldap-ph/microsoft.htm
11/27
12. 12
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Lightweight Directory Access Protocol
12/27
13. 13
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Archivos y directorios
Modalidad de acceso:
Lectura: el usuario puede únicamente leer o visualizar la información
pero no puede alterarla, debe considerarse que la información puede ser
copiada o impresa
Escritura: este tipo de acceso permite agregar datos, modificar o borrar
información
Ejecución: otorga al usuario el privilegio de ejecutar programas.
Borrado: permite al usuario eliminar recursos del sistema como
programas, campos de datos o archivos.
Todas las anteriores
14. 14
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Administración del personal y usuarios
Definición de Puestos:
Máxima separación de funciones y el otorgamiento mínimo de permisos
de acceso por cada puesto para la ejecución de las tareas asignadas.
Determinación de la sensibilidad del puesto:
Determinar si la función requiere permisos arriesgados que le permitan
alterar procesos, perpetuar fraudes o visualizar información confidencial.
Elección de la persona para cada puesto:
Considerar los requerimientos de experiencia y conocimientos técnicos
necesarios para cada puesto, así mismo para los puestos definidos como
críticos puede requerirse una verificación de antecedentes personales.
Entrenamiento inicial y continuo del empleado:
Cuando la persona ingresa a la organización debe comunicársele las
políticas de seguridad de la organización y su responsabilidad.
El personal debe sentir que la seguridad es un elemento prioritario.
15. 15
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Otras
Actualizaciones del sistema y aplicaciones
Mantenimiento perfectivo
Mantenimiento evolutivo
Parches de seguridad
Ubicación y horarios
No repudio
No repudio en origen: el emisor no puede negar el envío porque el
destinatario tiene pruebas del mismo el receptor recibe una prueba
infalsificable del envío.
No repudio de destino: el receptor no puede negar que recibió el
mensaje porque el emisor tiene pruebas de la recepción.
Funcionalidad
Día cero
16. 16
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Destrucción del HW, borrar programas, fallas en SO Piratería, escucha en línea
Modificación de: BBDD; elementos de HW Añadir: transacciones en red; registros en BBDD
Amenazas del sistemaPérdidaCambio
AccesoAlteración
17. 17
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Modelo de seguridad informática
18. 18
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Niveles de Seguridad Informática
Nivel Característica
D Sin protección.
C1: protección
discrecional
Se requiere identificación de usuarios que permite el acceso a distinta información.
• Acceso de control discrecional: distinción entre usuarios y recursos. Se podrán
definir grupos de usuarios (con los mismos privilegios) y grupos de objetos
(archivos, directorios, disco) sobre los cuales podrán actuar usuarios o grupos de
ellos.
• Identificación y Autentificación: se requiere que un usuario se identifique antes de
comenzar a ejecutar acciones sobre el sistema. El dato de un usuario no podrá ser
accedido por un usuario sin autorización o identificación.
C2: protección
de acceso
controlado
Se debe llevar una auditoria de accesos e intentos fallidos de acceso a objetos.
B1: seguridad
etiquetada
Soporta seguridad multinivel.
A cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta, con un nivel de
seguridad jerárquico (alto secreto, secreto, reservado, etc.) y con unas categorías
(contabilidad, planillas, ventas, etc.).
Cada usuario que accede a un objeto debe poseer un permiso expreso para hacerlo y
viceversa.
19. 19
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Niveles de Seguridad Informática
Nivel Característica
B2: protección
estructurada
Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto
inferior.
Así, un disco rígido será etiquetado por almacenar archivos que son accedidos por
distintos usuarios.
B3: dominios
de seguridad
Refuerza a los dominios con la instalación de hardware.
Existe un monitor de referencia que recibe las peticiones de acceso de cada usuario y
las permite o las deniega según las políticas de acceso que se hayan definido.
Todas las estructuras de seguridad deben ser lo suficientemente pequeñas como para
permitir análisis y testeos ante posibles violaciones.
Este nivel requiere que la terminal del usuario se conecte al sistema por medio de una
conexión segura.
Además, cada usuario tiene asignado los lugares y objetos a los que puede acceder.
A: protección
verificada
Es el nivel más elevado, incluye un proceso de diseño, control y verificación, mediante
métodos formales (matemáticos) para asegurar todos los procesos que realiza un
usuario sobre el sistema.
Para llegar a este nivel de seguridad, todos los componentes de los niveles inferiores
deben incluirse. El diseño requiere ser verificado de forma matemática y también se
deben realizar análisis de canales encubiertos y de distribución confiable. El software y
el hardware son protegidos para evitar infiltraciones ante traslados o movimientos del
equipamiento.
20. 20
Mg, Ing. Jack Daniel Cáceres Meza, PMP
20/07/200520/16
Estructura
tri-dimensional
ISO 7498-2
Arquitectura de
seguridad
21. 21
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Línea base sobre la
que empezaremos las
auditorías internas y
externas
Mejora evidente
resultante de
sincerar el trabajo
necesario para
acortar la brecha
(GAP análisis)
inicial
Primer nivel
de madurez
alcanzado
Ámbito de la mejora
continua (madurar
cada vez más)
22. Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com
Gracias por su atención
¿Preguntas?
Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com