seguridad informÁticaldm/mypage/data/si/apuntes/2019...herramientas seguridad informática...
TRANSCRIPT
1
SEGURIDAD INFORMÁTICA
UNTDF – IDEI | Profesor Lic. Leonardo de - Matteis | 2019/1c
Herramientas: autenticación y control
de acceso
IDEI | 2019-1c | 2 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaHerramientas
Temario
Autenticación
Métodos de autenticación.
Control de acceso.
Implementaciones de control de acceso.
IDEI | 2019-1c | 3 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaHerramientas
Autenticación
Según Diccionario de la lengua española (DRAE):
Autenticar
Autorizar o legalizar alguna cosa. Dar fe de la verdad de un
documento o un hecho ante la autoridad
En el contexto de la seguridad: es el acto de probar que un usuario es
quien dice ser.
Posibles métodos:
Algo que el usuario sabe.
Algo que el usuario es.
Algo que el usuario posee.
IDEI | 2019-1c | 4 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaHerramientas
Autenticación: algo que el usuario sabe
Mecanismos típicos:
Contraseñas
Preguntas de seguridad
Tipos de ataques:
Ataques del diccionario.
Inferir las contraseñas/respuestas probables.
Adivinar contraseñas.
Derrotar el ocultamiento (Tablas rainbow).
Ataque exhaustivo o de fuerza bruta.
IDEI | 2019-1c | 5 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaHerramientas
Autenticación: tipos de contraseñas
One character
0%
Two characters
2%Three characters
14%
Four characters,
all letters14%
Five letters,all same case
22%
Six letters,lowercase
19%
Words in
dictionaries or
lists of names
15%
Other good
passwords
14%
IDEI | 2019-1c | 6 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaHerramientas
Autenticación: almacenamiento de contraseñas
2
IDEI | 2019-1c | 7 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaHerramientas
Autenticación: algo que el usuario es
IDEI | 2019-1c | 8 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaHerramientas
Autenticación: mecanismo biométricos
Biometría
Consta del estudio de métodos automáticos para el reconocimiento
único de humanos basados en uno o más rasgos físicos o
conductuales propios del individuo.
El concepto biometría proviene de las palabras bios (vida) y metron
(medida), lo que significa que todo equipo biométrico mide e
identifica alguna característica propia de la persona.
Todos los seres humanos tenemos características morfológicas únicas
que nos diferencian.
IDEI | 2019-1c | 9 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaHerramientas
Autenticación: mecanismo biométricos
Métodos y tecnologías:
Huella dactilar.
Geometría de la mano (forma y tamaño de los dedos).
Análisis de retina e iris.
Patrón de voz.
Escritura a mano, firma y movimiento de la mano.
Forma de mecanografiar (dinámica de tecleo/pulsación de teclas).
Vasos sanguíneos en el dedo o la mano.
Reconocimiento facial.
Rasgos faciales (forma de la nariz o el espacio entre los ojos).
Forma de andar.
Pulsaciones cardiacas.
Señales cerebrales.
Técnicas multimodales.
IDEI | 2019-1c | 10 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaHerramientas
Autenticación: mecanismo biométricos
Presenta importantes ventajas sobre la autenticación por
contraseñas:
un rasgo biométrico no se puede perder, robar, olvidar o
compartir y está siempre disponible.
las características individuales son difíciles y prácticamente
imposibles de duplicar.
IDEI | 2019-1c | 11 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaHerramientas
Autenticación: mecanismos biométricos
Problemas asociados con la autenticación biométrica:
Puede ser considerado intrusivo
Costoso
Punto único de fallo
Posibles error de muestreo
Lecturas falsas
Velocidad
Falsificación
IDEI | 2019-1c | 12 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaHerramientas
Autenticación: algo que el usuario posee
Tokens
Un objeto en poder del usuario.
Ejemplo: una llave que se inserta en una cerradura. Es un elemento
preciso sólo funciona con la cerradura asociada.
Otros ejemplos:
Tarjetas de identificación, tarjetas de descuento, pasaporte, tarjetas
de crédito (con banda magnética o con chip), tarjetas de acceso (con
tecnología de acceso inalámbrica pasiva o activa).
3
IDEI | 2019-1c | 13 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaHerramientas
Autenticación: algo que el usuario posee
Time-Based Token Authentication
PASSCODE PIN TOKENCODE=
Login: mcollings
2468159759Passcode:
+
Clock
synchronized to
UCT
Unique seed
Token code:
Changes every
60 seconds
IDEI | 2019-1c | 14 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaHerramientas
Autenticación: gestión de identidad
Gestión de identidad federada
Unifica el proceso de identificación y autenticación para un grupo de
sistemas.
La autenticación se realiza en un solo lugar, procesos y sistemas
separados determinan que un usuario ya autenticado debe activarse.
Inicio de sesión único (Single sign-on)
Permite al usuario iniciar sesión una única vez y obtiene acceso a
muchas aplicaciones o sistemas diferentes.
A menudo funciona junto con la gestión de identidades federadas y el
proveedor de identidades federadas actúa como fuente de
autenticación para todas las aplicaciones.
IDEI | 2019-1c | 15 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaHerramientas
Autenticación: gestión de identidad federada
UserIdentity Manager
(performs
authentication)Authenticated
Identity
Application
(no authentication)
Application
(no authentication)
Application
(no authentication)
IDEI | 2019-1c | 16 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaHerramientas
Autenticación: inicio de sesión único
User Single Sign-On
ShellIdentification and
Authentication
Credentials
Application
Authentication
Token
AuthenticationAuthentication
ApplicationApplication
Password
IDEI | 2019-1c | 17 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaHerramientas
Múltiples factores para autenticación
La combinación de factores es cada vez más utilizada en escenarios
reales.
Dos formas de autenticación siempre son mejor que una.
Poseer factores de autenticación adicionales no implica que sean
utilizados.
Observación: no olvidar el punto de vista de la usabilidad.
-
Existen tokens con elementos biométricos asociados pero no son
utilizados correctamente.
Ejemplos: firma manuscrita en una tarjeta de crédito. Fotografía del
propietario en la licencia de conducir.
IDEI | 2019-1c | 18 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaHerramientas
Control de acceso
Limitar quién puede acceder a qué y de qué manera.
4
IDEI | 2019-1c | 19 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaHerramientas
Control de acceso: políticas de acceso
El control de acceso es un proceso mecánico.
Debemos proteger distintos objetos dentro de la organización:
archivos, dispositivos, conexiones a la red, etc.
Se pueden implementar con una tabla y un proceso en una
computadora.
Un sujeto dado puede o no puede acceder a un objeto.
Las decisiones se basan en una política de seguridad.
La organización debe desarrollar y mantener una política de
seguridad de alto nivel que permita impulsar todas las reglas de
control de acceso.
IDEI | 2019-1c | 20 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaHerramientas
Control de acceso: objetivos
Comprobar cada acceso.
Hacer cumplir el privilegio mínimo
Verificar uso aceptable.
Rastrear el acceso de los usuarios.
Hacer cumplir la granularidad apropiada.
Utilizar y almacenar registros de auditoría para poder realizar
un seguimiento de los accesos.
IDEI | 2019-1c | 21 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaHerramientas
Control de acceso: implementación
Monitor de referencia.
Directorio de control de acceso.
Matriz de control de acceso.
Lista de control de acceso.
Lista de privilegios.
IDEI | 2019-1c | 22 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaHerramientas
Control de acceso: implementación
Monitor de referencia
El control de acceso depende de una combinación de hardware y
software que:
Siempre se invoca.
Valida cada intento de acceso.
A prueba de manipulaciones.
Se asume correcto, es verificable.
Es una noción, no es una herramienta que se puede conectar y
utilizar.
Los privilegios de acceso son/deberían ser implementados y
mantenidos utilizando monitores de referencia.
IDEI | 2019-1c | 23 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaHerramientas
Control de acceso: implementación
Directorio de control acceso
PROG1. C
PROG1.EXE
BIBLIOG
HELP.TXT
TEMP
ORW
ORW
ORW
OX
R
BIBLIOG
TEST.TMP
PRIVATE
HELP.TXT
R
ORW
OX
R
File NameFile NameAccessRights
AccessRights
FilePointer
FilePointer
User A Directory User B DirectoryFiles
IDEI | 2019-1c | 24 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaHerramientas
Control de acceso: implementación
Directorio de control acceso
Problemas:
La lista se hace demasiado larga si hay muchos objetos compartidos.
El directorio de cada usuario mantiene una entrada por cada objeto
compartido aunque nunca lo vaya a utilizar.
La eliminación de objetos debe reflejarse en todos los directorios.
La revocación de permisos debe hacerse en todos los directorios de
todos los usuarios.
Cómo distinguir archivos de igual denominación.
Cómo manejar seudónimos (alias).
5
IDEI | 2019-1c | 25 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaHerramientas
Control de acceso: implementación
Matriz de control acceso
IDEI | 2019-1c | 26 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaHerramientas
Control de acceso: implementación
Matriz de control acceso
Más eficiente si se representa como lista de tres elementos.
Problemas:
La búsqueda sobre estas listas resulta ser muy ineficiente.
IDEI | 2019-1c | 27 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaHerramientas
Control de acceso: implementación
Lista de control acceso
Esta representación corresponde a las columnas de la matriz de
control de acceso.
F
TEMP
BIBLIOG
HELP.TXT
FileAccess List
Pointer UserAccessRights
USER_S
USER_B
USER_A ORW
RW
R
BIBLIOG
TEMP
F
HELP.TXT
USER_A ORW
USER_S
USER_A ORW
R
USER_S
USER_B
USER_A R
R
R
USER_T R
SYSMGR
USER_SVCS
RW
O
Directory Access Lists Files
IDEI | 2019-1c | 28 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaHerramientas
Control de acceso: implementación
Lista de control acceso
Se utiliza una lista de control de acceso por objeto.
Permite incluir permisos/privilegios por defecto.
Se pueden compartir objetos entre todos los usuarios del sistema,
no hay necesidad de incorporar un ítem individual en cada
directorio de cada usuario.
Utilizadas en el sistema operativo Unix (y similares).
IDEI | 2019-1c | 34 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaHerramientas
Control de acceso: implementación
Orientado a procedimientos
Se define un proceso que controla el acceso a los objetos.
Los procedimientos pueden realizar acciones específicas sobre un tipo
de objeto en particular.
No sólo se controla quien tiene acceso a un objeto, sino también que
se puede hacer sobre el mismo.
Implementan el principio de ocultación de información (los medios
para implementar un objeto son conocidos solo por los
procedimientos de control del objeto).
Ejemplo:
Sólo se permite acceso a un objeto de tipo usuario mediante los
procedimientos: user_add, user_delete, user_check.
IDEI | 2019-1c | 35 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaHerramientas
Control de acceso: implementación
Basado en roles
Permite distinguir entre diferentes tipos de usuarios.
Permite asociar privilegios a partir de grupos.
Se especifica que se permite y que no se permite en cada grupo.
Idea: es más fácil si se controla el acceso de acuerdo a lo que se
necesita de acuerdo al trabajo a realizar.
Brinda flexibilidad en casos donde las responsabilidades de las
personas van cambiando.
Permite identificar las necesidades comunes de todos los
miembros de un conjunto de personas.
6
IDEI | 2019-1c | 36 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur
Seguridad InformáticaHerramientas
Control de acceso: conclusiones
Los controles de acceso cada vez más complejos.
Las capacidades que deben verificarse en cada acceso son más
difíciles de implementar y consumen más tiempo.
La complejidad es mayor tanto para el usuario como para el
implementador.
Los usuarios perciben la lentitud a medida que la implementación
de los controles se vuelve más compleja.
Se debe lograr un equilibrio entre simplicidad y funcionalidad.