seguridad informÁticaldm/mypage/data/si/apuntes/2019...herramientas seguridad informática...

1

SEGURIDAD INFORMÁTICA

UNTDF – IDEI | Profesor Lic. Leonardo de - Matteis | 2019/1c

Herramientas: autenticación y control

de acceso

IDEI | 2019-1c | 2 Universidad Nacional de Tierra del Fuego, Antártida e Islas del Atlántico Sur

Seguridad InformáticaHerramientas

Temario

Autenticación

Métodos de autenticación.

Control de acceso.

Implementaciones de control de acceso.



Autenticación

Según Diccionario de la lengua española (DRAE):

Autenticar

Autorizar o legalizar alguna cosa. Dar fe de la verdad de un

documento o un hecho ante la autoridad

En el contexto de la seguridad: es el acto de probar que un usuario es

quien dice ser.

Posibles métodos:

Algo que el usuario sabe.

Algo que el usuario es.

Algo que el usuario posee.



Autenticación: algo que el usuario sabe

Mecanismos típicos:

Contraseñas

Preguntas de seguridad

Tipos de ataques:

Ataques del diccionario.

Inferir las contraseñas/respuestas probables.

Adivinar contraseñas.

Derrotar el ocultamiento (Tablas rainbow).

Ataque exhaustivo o de fuerza bruta.



Autenticación: tipos de contraseñas

One character

0%

Two characters

2%Three characters

14%

Four characters,

all letters14%

Five letters,all same case

22%

Six letters,lowercase

19%

Words in

dictionaries or

lists of names

15%

Other good

passwords

14%



Autenticación: almacenamiento de contraseñas

2



Autenticación: algo que el usuario es



Autenticación: mecanismo biométricos

Biometría

Consta del estudio de métodos automáticos para el reconocimiento

único de humanos basados en uno o más rasgos físicos o

conductuales propios del individuo.

El concepto biometría proviene de las palabras bios (vida) y metron

(medida), lo que significa que todo equipo biométrico mide e

identifica alguna característica propia de la persona.

Todos los seres humanos tenemos características morfológicas únicas

que nos diferencian.




Métodos y tecnologías:

Huella dactilar.

Geometría de la mano (forma y tamaño de los dedos).

Análisis de retina e iris.

Patrón de voz.

Escritura a mano, firma y movimiento de la mano.

Forma de mecanografiar (dinámica de tecleo/pulsación de teclas).

Vasos sanguíneos en el dedo o la mano.

Reconocimiento facial.

Rasgos faciales (forma de la nariz o el espacio entre los ojos).

Forma de andar.

Pulsaciones cardiacas.

Señales cerebrales.

Técnicas multimodales.




Presenta importantes ventajas sobre la autenticación por

contraseñas:

un rasgo biométrico no se puede perder, robar, olvidar o

compartir y está siempre disponible.

las características individuales son difíciles y prácticamente

imposibles de duplicar.



Autenticación: mecanismos biométricos

Problemas asociados con la autenticación biométrica:

Puede ser considerado intrusivo

Costoso

Punto único de fallo

Posibles error de muestreo

Lecturas falsas

Velocidad

Falsificación



Autenticación: algo que el usuario posee

Tokens

Un objeto en poder del usuario.

Ejemplo: una llave que se inserta en una cerradura. Es un elemento

preciso sólo funciona con la cerradura asociada.

Otros ejemplos:

Tarjetas de identificación, tarjetas de descuento, pasaporte, tarjetas

de crédito (con banda magnética o con chip), tarjetas de acceso (con

tecnología de acceso inalámbrica pasiva o activa).

3



Autenticación: algo que el usuario posee

Time-Based Token Authentication

PASSCODE PIN TOKENCODE=

Login: mcollings

2468159759Passcode:

+

Clock

synchronized to

UCT

Unique seed

Token code:

Changes every

60 seconds



Autenticación: gestión de identidad

Gestión de identidad federada

Unifica el proceso de identificación y autenticación para un grupo de

sistemas.

La autenticación se realiza en un solo lugar, procesos y sistemas

separados determinan que un usuario ya autenticado debe activarse.

Inicio de sesión único (Single sign-on)

Permite al usuario iniciar sesión una única vez y obtiene acceso a

muchas aplicaciones o sistemas diferentes.

A menudo funciona junto con la gestión de identidades federadas y el

proveedor de identidades federadas actúa como fuente de

autenticación para todas las aplicaciones.



Autenticación: gestión de identidad federada

UserIdentity Manager

(performs

authentication)Authenticated

Identity

Application

(no authentication)

Application

(no authentication)

Application

(no authentication)



Autenticación: inicio de sesión único

User Single Sign-On

ShellIdentification and

Authentication

Credentials

Application

Authentication

Token

AuthenticationAuthentication

ApplicationApplication

Password



Múltiples factores para autenticación

La combinación de factores es cada vez más utilizada en escenarios

reales.

Dos formas de autenticación siempre son mejor que una.

Poseer factores de autenticación adicionales no implica que sean

utilizados.

Observación: no olvidar el punto de vista de la usabilidad.

-

Existen tokens con elementos biométricos asociados pero no son

utilizados correctamente.

Ejemplos: firma manuscrita en una tarjeta de crédito. Fotografía del

propietario en la licencia de conducir.



Control de acceso

Limitar quién puede acceder a qué y de qué manera.

4



Control de acceso: políticas de acceso

El control de acceso es un proceso mecánico.

Debemos proteger distintos objetos dentro de la organización:

archivos, dispositivos, conexiones a la red, etc.

Se pueden implementar con una tabla y un proceso en una

computadora.

Un sujeto dado puede o no puede acceder a un objeto.

Las decisiones se basan en una política de seguridad.

La organización debe desarrollar y mantener una política de

seguridad de alto nivel que permita impulsar todas las reglas de

control de acceso.



Control de acceso: objetivos

Comprobar cada acceso.

Hacer cumplir el privilegio mínimo

Verificar uso aceptable.

Rastrear el acceso de los usuarios.

Hacer cumplir la granularidad apropiada.

Utilizar y almacenar registros de auditoría para poder realizar

un seguimiento de los accesos.



Control de acceso: implementación

Monitor de referencia.

Directorio de control de acceso.

Matriz de control de acceso.

Lista de control de acceso.

Lista de privilegios.




Monitor de referencia

El control de acceso depende de una combinación de hardware y

software que:

Siempre se invoca.

Valida cada intento de acceso.

A prueba de manipulaciones.

Se asume correcto, es verificable.

Es una noción, no es una herramienta que se puede conectar y

utilizar.

Los privilegios de acceso son/deberían ser implementados y

mantenidos utilizando monitores de referencia.




Directorio de control acceso

PROG1. C

PROG1.EXE

BIBLIOG

HELP.TXT

TEMP

ORW

ORW

ORW

OX

R

BIBLIOG

TEST.TMP

PRIVATE

HELP.TXT

R

ORW

OX

R

File NameFile NameAccessRights

AccessRights

FilePointer

FilePointer

User A Directory User B DirectoryFiles




Directorio de control acceso

Problemas:

La lista se hace demasiado larga si hay muchos objetos compartidos.

El directorio de cada usuario mantiene una entrada por cada objeto

compartido aunque nunca lo vaya a utilizar.

La eliminación de objetos debe reflejarse en todos los directorios.

La revocación de permisos debe hacerse en todos los directorios de

todos los usuarios.

Cómo distinguir archivos de igual denominación.

Cómo manejar seudónimos (alias).

5




Matriz de control acceso




Matriz de control acceso

Más eficiente si se representa como lista de tres elementos.

Problemas:

La búsqueda sobre estas listas resulta ser muy ineficiente.




Lista de control acceso

Esta representación corresponde a las columnas de la matriz de

control de acceso.

F

TEMP

BIBLIOG

HELP.TXT

FileAccess List

Pointer UserAccessRights

USER_S

USER_B

USER_A ORW

RW

R

BIBLIOG

TEMP

F

HELP.TXT

USER_A ORW

USER_S

USER_A ORW

R

USER_S

USER_B

USER_A R

R

R

USER_T R

SYSMGR

USER_SVCS

RW

O

Directory Access Lists Files




Lista de control acceso

Se utiliza una lista de control de acceso por objeto.

Permite incluir permisos/privilegios por defecto.

Se pueden compartir objetos entre todos los usuarios del sistema,

no hay necesidad de incorporar un ítem individual en cada

directorio de cada usuario.

Utilizadas en el sistema operativo Unix (y similares).




Orientado a procedimientos

Se define un proceso que controla el acceso a los objetos.

Los procedimientos pueden realizar acciones específicas sobre un tipo

de objeto en particular.

No sólo se controla quien tiene acceso a un objeto, sino también que

se puede hacer sobre el mismo.

Implementan el principio de ocultación de información (los medios

para implementar un objeto son conocidos solo por los

procedimientos de control del objeto).

Ejemplo:

Sólo se permite acceso a un objeto de tipo usuario mediante los

procedimientos: user_add, user_delete, user_check.




Basado en roles

Permite distinguir entre diferentes tipos de usuarios.

Permite asociar privilegios a partir de grupos.

Se especifica que se permite y que no se permite en cada grupo.

Idea: es más fácil si se controla el acceso de acuerdo a lo que se

necesita de acuerdo al trabajo a realizar.

Brinda flexibilidad en casos donde las responsabilidades de las

personas van cambiando.

Permite identificar las necesidades comunes de todos los

miembros de un conjunto de personas.

6



Control de acceso: conclusiones

Los controles de acceso cada vez más complejos.

Las capacidades que deben verificarse en cada acceso son más

difíciles de implementar y consumen más tiempo.

La complejidad es mayor tanto para el usuario como para el

implementador.

Los usuarios perciben la lentitud a medida que la implementación

de los controles se vuelve más compleja.

Se debe lograr un equilibrio entre simplicidad y funcionalidad.

seguridad informÁticaldm/mypage/data/si/apuntes/2019...herramientas seguridad informática...

Documents