05 AccessControlv3

CISSP Security Training Access Control Systems and Methodology
Access Control
Agenda
Aspectos generales Tipos de control de acceso Implementacin de control de acceso Identificacin, autenticacin, autorizacin y auditora Tcnicas de identificacin y autenticacin
Passwords Sistemas Biomtricos Tokens / Tickets / Single Sign On
Kerberos Modelos de control de acceso Administracin de control de acceso Monitoreo, Auditora y Logs Sistemas de Deteccin de Intrusos (IDS) Mtodos de ataque Referencias y Lecturas Complementarias Preguntas
CISSP Security Training - Access Control Copyright 2004-2008 SICinformtica S.R.L.
Access Control
Aspectos Generales
Aspectos Generales
La transferencia de informacin desde un objeto a un sujeto es llamada acceso. Los sujetos son entidades activas, que pueden estar representados por:
Usuarios Programas Procesos Computadoras, etc.
Aspectos Generales (Cont.)

Los objetos son entidades pasivas, que pueden estar representados por:
Archivos Bases de datos Programas Procesos Impresoras Medios de almacenamientos, etc.
Aspectos Generales (Cont.)

El sujeto es siempre la entidad que recibe informacin acerca del objeto, o datos que provienen de ste. El sujeto es tambin la entidad que altera o modifica la informacin del objeto, o bien, los datos almacenados dentro de l.
CIA Triad
El Control de Acceso se implementa para asegurar:
Confidencialidad Integridad Disponibilidad
Confidencialidad
Es la necesidad de que la informacin slo sea conocida por personas autorizadas.
Integridad
Es la caracterstica que hace que el contenido de la informacin permanezca inalterado, a menos que sea modificado por personal autorizado
Disponibilidad
Es la capacidad que permite que la informacin se encuentre siempre disponible, para que pueda ser procesada por el personal autorizado.
10
Access Control
Tipos de Control de Acceso
Tipos de Control de Acceso

Los controles de acceso pueden ser divididos en tres tipos principales:
Control de Acceso Preventivo Control de Acceso Detectivo Control de Acceso Correctivo
Tambin pueden encontrarse los siguientes:

Control de Acceso de Disuasin Control de Acceso de Recuperacin Control de Acceso de Compensacin
12
Control de Acceso Preventivo

Es implementado para detener una actividad no autorizada, antes que la misma ocurra. Algunos ejemplos son:
Polticas de seguridad Capacitacin en materia de seguridad Aplicaciones antivirus Firewall Encripcin, etc.
13
Control de Acceso Detectivo

Es implementado para descubrir una actividad no autorizada. Algunos ejemplos son:
Guardias de seguridad Investigacin de incidentes Sistemas de deteccin, etc.
14
Control de Acceso Correctivo

Es implementado para restaurar un sistema a su funcionamiento normal, luego de que una actividad no autorizada ha ocurrido. Algunos ejemplos son:
Polticas de seguridad Manuales Plan de Contingencia, etc.
15
Control de Acceso de Disuasin

Son controles usados para desalentar violaciones de seguridad. Algunos ejemplos son:
Cerraduras Rejas Guardias de seguridad Circuito cerrado de TV Separacin de funciones, etc.
16
Control de Acceso de Recuperacin

Son controles usados para restaurar recursos y capacidades. Algunos ejemplos son:
Copias de seguridad Software antivirus, etc.
17
Control de Acceso de Compensacin

Es implementado para brindar alternativas a otros tipos de control. Algunos ejemplos son:
Monitoreo y supervisin Procedimientos de personal, etc.
18
Access Control
Implementacin del Control de Acceso
Implementacin de Control de Acceso

La implementacin de un Control de Acceso puede ser categorizada en:
Control de Acceso Administrativo Control de Acceso Lgico / Tcnico Control de Acceso Fsico
20
Control de Acceso Administrativo

Comprenden las normas y procedimientos definidos en la Poltica de Seguridad de la Organizacin, a fin de implementar y hacer cumplir las medidas de control de acceso. Algunos ejemplos son:
Polticas Procedimientos Revisiones Clasificacin de los datos Capacitacin en seguridad, etc.
21
Control de Acceso Lgico/Tcnico

Comprenden los mecanismos de hardware o software usados para gestionar el acceso a recursos y sistemas de manera de brindar proteccin a los mismos. Algunos ejemplos son:
Passwords Encripcin Smart Cards Sistemas biomtricos ACLs, etc.
22
Control de Acceso Fsico

Comprenden la distribucin de barreras fsicas a fin de prevenir el contacto directo con los sistemas. Algunos ejemplos son:
Detectores de movimientos Sensores Luces Cerraduras Perros Cmaras, etc.
23
Access Control
Identificacin, Autenticacin, Autorizacin y Accounting
Pasos para Acceder a un Objeto

El control de acceso gobierna el acceso de sujetos a objetos. Existen varios pasos para poder acceder a un objeto:
Identificacin Autenticacin Autorizacin Auditora / Responsabilidad (Accouting)
25
Identificacin
Es el proceso por el cual un sujeto proporciona una identidad y una cuenta es iniciada. Un usuario puede utilizar como identidad:
Username Logon ID PIN, etc.
26
Autenticacin
Es el proceso de verificar que una identidad proporcionada es vlida. La autenticacin requiere que el sujeto proporcione informacin adicional que debe corresponder exactamente con la identidad indicada. El mtodo ms comn, es el empleo de Passwords.
27
Autenticacin (Cont.)
Los tipos de informacin ms comunes que pueden ser empleados son: Tipo 1: Un factor de autenticacin por Tipo 1 es Algo que usted conozca, como ser: una password, un PIN, etc. Tipo 2: Un factor de autenticacin por Tipo 2 es Algo que usted tiene, como ser: una smart card, un token, etc. Tipo 3: Un factor de autenticacin por Tipo 3 es Algo que usted es, como ser: Una huella digital, anlisis de voz, escner de retina o iris, etc.
28
Autenticacin (Cont.)
En adicin a estos, existen otras como ser:
Algo que usted hace, tanto como: firmar un documento, escribir una frase (Teclados dinmicos), etc. normalmente incluido dentro del Tipo 3, Donde usted se encuentra, tanto como: una PC especfica, una lnea telefnica determinada, etc. normalmente incluido dentro del Tipo 2.
29
Autorizacin
Puede ser definido como una poltica que es usada para permitir o denegar el acceso a un recurso. Esto puede ser un componente avanzado como una tarjeta inteligente, un dispositivo biomtrico o un dispositivo de acceso a la red como un router, access point wireless o access server. Tambin puede ser: un servidor de archivos o recursos que asigne determinados permisos como los sistemas operativos de red (Windows 2000, Novell, etc).
30
10
Autorizacin (Cont.)
El hecho de que un sujeto haya sido identificado y autenticado, no significa que haya sido autorizado. Como ejemplo podemos citar que Un usuario puede estar habilitado para imprimir un documento, pero no para alterar la cola de impresin.
31
Auditora (Accounting)
Es el proceso de registrar eventos, errores, accesos e intentos de autenticaciones en un sistema. Existen varias razones para que un administrador habilite esta funcionalidad:
Deteccin de intrusiones Reconstruccin de eventos y condiciones del sistema Obtener evidencias para acciones legales Producir reportes de problemas, etc.
El conjunto de acciones a ser auditadas pueden ser:

Eventos de Sistema Eventos de Aplicaciones Eventos de Usuarios
32
Eventos de Sistema
Monitoreo de performance Intentos de logon (exitosos y fracasados) Logon ID Fecha y hora de cada intento de logon Bloqueos de cuentas de usuario Uso de herramientas administrativas Uso de derechos y funciones Modificacin de archivos de configuracin Modificacin o eliminacin de archivos crticos, etc.
33
11
Eventos de Aplicaciones
Mensajes de error Apertura y cierre de archivos Modificacin de archivos Violaciones de seguridad en la aplicacin, etc.
34
Eventos de Usuarios
Identificacin e intentos de autenticacin Archivos, servicios y recursos utilizados Comandos ejecutados Violaciones de seguridad
35
Access Control
Tcnicas de Identificacin y Autenticacin
12
Tcnicas de Identificacin y Autenticacin

Entre las principales tcnicas de mayor utilizacin en la actualidad, encontramos:
Passwords Sistemas Biomtricos Tokens Tickets
37
Passwords
Es la tcnica de autenticacin ms usada, pero tambin es considerada la ms dbil. Las fallas habituales de seguridad se deben a:
Los usuarios elijen frecuentemente passwords que son fciles de recordar y, en consecuencia, fciles de romper. Las passwords aleatorias son difciles de recordar. Las passwords son fciles de compartir, olvidar y escribir. Pueden ser robadas fcilmente, por observacin, grabacin, etc.
38
Passwords (Cont.)
Algunas passwords se transmiten en texto claro o protegidas por tcnicas fciles de romper. Passwords cortas pueden ser descubiertas rpidamente por ataques de fuerza bruta, etc.
39
13
Tipos de Password
Existen dos tipos de passwords:
Estticas Dinmicas
Las passwords Estticas siempre permanecen iguales y solo cambian cuando expira su tiempo de vida. Las passwords Dinmicas cambian despus de un perodo de tiempo de uso. Las One-Time Passwords son una variante de esta categora.
40
One Time Password

Esta tcnica utiliza passwords que slo tienen validez para un usuario especfico durante una determinada sesin. Un ejemplo caracterstico lo constituye el sistema S/Key. El sistema utiliza algoritmos de hashing de una va con el fin de crear un esquema de contraseas de nica vez . Aqu las contraseas son enviadas a travs de la red, pero luego que la password fue utilizada, caduca y no es vlida para ser utilizada nuevamente.
41
One Time Password (Cont.)

Este sistema tiene tres componentes fundamentales:
Cliente: Pide el login del usuario. No realiza almacenamiento de contraseas. Host: Procesa la contrasea, almacena la contrasea de nica vez y tambin le provee al cliente el valor inicial para calcular el hash. Calculador de Claves: Es la funcin de hash para la contrasea de nica vez.
42
14
Passphrase y Password Cognoscitivo

Algo ms efectivo que una simple password es una passphrase, al ser sta una cadena de caracteres ms larga que una simple palabra. Otro interesante mecanismo es conocido como password cognoscitivo, el cual comprende una serie de preguntas acerca de hechos cuyas respuestas slo pueden ser conocidas por un sujeto determinado.
43
Ataques a Passwords
Cuando un atacante busca obtener las passwords, puede utilizar diferentes mtodos, como ser:
Anlisis de trfico de red Acceso al archivo de passwords Ataques por fuerza bruta Ataques por diccionario Ingeniera social, etc.
44
Polticas de Definicin de Passwords

Muchas organizaciones poseen Polticas de Definicin de Passwords, las cuales comprenden una serie de restricciones, como ser:
Longitud mnima Duracin mnima y mxima No reutilizar el username o parte del mismo Guardar histrico de passwords Utilizar maysculas, minsculas, nmeros, caracteres especiales Prevenir reuso, etc
45
15
Sistemas Biomtricos
Los sistemas biomtricos se basan en caractersticas fsicas del usuario a identificar o en patrones de conducta. El proceso general de autenticacin sigue unos pasos comunes a todos los modelos de autenticacin biomtrica:
Extraccin de ciertas caractersticas de la muestra (por ejemplo, el detalle de una huella dactilar). Comparacin de tales caractersticas con las almacenadas en una base de datos. Finalmente la decisin de si el usuario es vlido o no.
46
Sistemas Biomtricos (Cont.)

La mayora de los dispositivos biomtricos tienen un ajuste de sensibilidad para que puedan ser configurados de manera que operen en forma ms sensible o menos sensible. Cuando un dispositivo es demasiado sensible, ocurre un error Tipo 1, es decir, un sujeto vlido no es autenticado; esto se conoce como Tasa de Falsos Rechazos (FRR). Cuando un dispositivo no es lo suficientemente sensible, ocurre un error Tipo 2, es decir, un sujeto invlido es autenticado; esto se conoce como Tasa de Falsas Aceptaciones (FAR).
47

El punto en el cual FRR=FAR es conocido como Crossover Error Rate (CER). El nivel CER es usado como un estndar para evaluar la performance de los dispositivos biomtricos.
48
16

Entre los tipos de sistemas biomtricos ms utilizados, encontramos:
Huellas digitales Reconocimiento de retina Reconocimiento de iris Reconocimiento facial Geometra de la mano Reconocimiento de la palma Verificacin de voz Dinmica de la firma a mano alzada
49

Adems de los costos hay tres puntos crticos a determinar a la hora de elegir un sistema biomtrico como mtodo de control de acceso:
Aceptacin del usuario Tiempo de enrollment y throughput Precisin Adicionalmente tambin son importantes: Facilidad de implementacin Tamao y manejo de las muestras
50
Aceptacin del usuario

Los ms aceptados por usuarios, por orden, son:
Iris Scan Keystroke Dynamics Signature Dynamics Voice Verification Facial Recognition Fingerprint Palm Scan Hand Geometry Retina Scan
51
17
Enrollment
Es el proceso en el cual se toma la muestra del atributo fsico del individuo, la cual ser almacenada en una base de datos sobre la cual se verificar posteriormente su identidad. Muchas veces se necesita tomar repetidas muestras del atributo hasta que se logra finalmente. Esto puede hacer que los tiempos de enrollment sean altos y el sistema tenga baja aceptacin.
52
Throughput
Comprende el proceso propiamente dicho de identificacin o autenticacin de una persona. Es cuando la persona somete su caracterstica fsica al dispositivo biomtrico, quien lo compara con la almacenada en la base de datos. Al igual que el proceso de enrollment, puede necesitarse repetir la operacin de reconocimiento ms de una vez, con lo cual los tiempos de respuesta sern altos, perdiendo funcionalidad.
53
Precisin
Los ms efectivos, por orden, son:
Palm Scan Hand Geometry Iris Scan Retina Scan Fingerprint Voice Verification Facial Recognition Signature Dynamics Keystroke Dynamics
54
18
Ventajas de los Sistemas Biomtricos

Entre las ventajas ms significativas, encontramos:
No pueden ser prestados, como una llave o token y no se pueden olvidar como una contrasea. Buena relacin entre facilidad de uso, tamao de los templates, costo y precisin. Permiten la identificacin nica de un individuo, an en casos de bases de datos de gran tamao. Duran para siempre... Logran que los procesos de login y autenticacin no requieran esfuerzo alguno.
55
Desventajas de los Sistemas Biomtricos

Entre las desventajas ms importantes, encontramos:
Todava siguen siendo particularmente caros. An existe cierto rechazo o desconfianza por parte de los usuarios.
56
Sistemas Biomtricos y Privacidad

Seguimiento y Vigilancia: Permiten seguir y vigilar los movimientos de una persona. Anonimicidad: Si la identificacin est asociada a una base de datos, se pierde el anonimato al acceder a servicios a travs de sistemas biomtricos. Profiling:La recopilacin de datos acerca de transacciones realizadas por un individuo en particular, permite definir un perfil de las preferencias, afiliaciones y creencias de ese individuo.
57
19
Tokens
Son dispositivos generadores de password que un sujeto lleva con l. Los dispositivos tokens pertenecen a la clase Algo que usted tiene (Tipo 2) Existen cuatro tipos de tokens:
Tokens estticos Tokens sincrnicos basados en tiempo Tokens sincrnicos basados en eventos Tokens asincrnicos basados en desafo/respuesta
58
Tokens Estticos
Estos tokens requieren de un factor adicional para brindar autenticacin, como ser una password o una caracterstica biomtrica. La mayora de estos dispositivos almacenan una clave criptogrfica como ser, una clave privada, credenciales de logon encriptadas, etc. Son utilizados principalmente como tcnica de identificacin en lugar de autenticacin. Algunos ejemplos son:
Smart card Floppy disk USB device, etc
59
Tokens Sincrnicos Basados en Tiempo

Las tarjetas y el servidor tienen relojes que miden el tiempo transcurrido desde la inicializacin. Cada cierto tiempo el nmero resultante se encripta y se muestra en la pantalla de la tarjeta; el usuario ingresa su PIN en el servidor junto con el nmero que se visualiza en su tarjeta. Como el servidor conoce el momento de inicializacin de la tarjeta tambin puede calcular el tiempo transcurrido, dicho valor encriptado deber coincidir con el introducido por el usuario para que ste sea aceptado.
60
20
Tokens Sincrnicos Basados en Eventos

Las passwords se generan debido a la ocurrencia de un evento, por ejemplo se requiere que el sujeto presione una tecla en la tarjeta. Esto causa que la tarjeta y el servidor avancen al prximo valor de autenticacin. El usuario debe ingresar su PIN en la tarjeta. A partir del conjunto formado por el PIN y el nuevo valor de autenticacin, se genera una nueva password aplicando una funcin criptogrfica (Ej: DES, Hash, etc.) a dicho conjunto, la que ser enviada al servidor para su verificacin.
61
Tokens Asincrnicos Basados en Desafo/Respuesta

El servidor de token genera una cadena de dgitos aleatoria (desafo) y la enva al cliente remoto que intenta acceder a la red. El usuario remoto ingresa esa cadena de dgitos ms su PIN en la token card, la cual le aplica una funcin criptogrfica (Ej: DES) con una llave almacenada, generando la contrasea (respuesta). El resultado de esa funcin es enviado nuevamente al servidor de token, quien realiza la misma operacin. Si el resultado es igual, el usuario es autenticado.
62
Tickets
Este mecanismo emplea una tercera entidad, aparte del cliente y el servidor, la cual brinda el servicio de autenticacin. Es importante aqu citar el concepto de Single Sign On (SSO).
63
21
Single Sign On (SSO)

Este mecanismo le permite a un sujeto ser autenticado slo una vez, luego el mismo puede acceder a los recursos y servicios del sistema libremente, sin ser autenticado nuevamente. Algunos ejemplos son:
Scripts SESAME KryptoKnight Clientes Delgados Servicios de directorio Kerberos etc.
64
Scripts
Consiste en la forma ms sencilla de implementar un sistema single sign-on. Cuando un usuario solicita acceso a un recurso, se corre un script en background que ejecuta los mismos comandos y tareas que dicho usuario debera ingresar para autenticarse debidamente frente a este recurso. Requiere cambios cada vez que un usuario modifica su ID o password. Debido a que este tipo de scripts contienen credenciales de usuario, deben ser almacenados en un rea protegida.
65
SESAME
SESAME (Secure European System for Applications in a Multi-vendor Environment) es un proyecto que fue desarrollado para extender la funcionalidad de Kerberos y mejorar sus debilidades. Mientras que Kerberos slo emplea algoritmos de encripcin Simtricos, SESAME utiliza algoritmos de encripcin Simtricos y Asimtricos para proteger el intercambio de datos. Mientras que Kerberos emplea Tickets para la autenticacin de sujetos, SESAME utiliza Certificados de Atributos de Privilegio (PACs).
66
22
SESAME (Cont.)
Estos PACs contienen:
Identidad del sujeto Capacidades de acceso para cada objeto Perodo de tiempo de acceso Tiempo de vida del PAC
Cada PAC est firmado digitalmente. En este esquema, la tercera parte de confianza se denomina Servidor de Atributos de Privilegio (PAS), el cual tiene un rol similar al KDC en el esquema Kerberos.
67
SESAME (Cont.)
El proceso de autenticacin es el siguiente:
El usuario enva sus credenciales al Servidor de Autenticacin (AS). El AS enva un token al cliente para que ste pueda comunicarse con el PAS. Cuando el usuario requiere acceso a un recurso, enva el token al PAS. El PAS crea y enva un PAC al usuario. El usuario utiliza el PAC para autenticarse frente al recurso que pretende acceder.
68
KryptoKnight
Relacin peer to peer. Soporta:
Administracin Autenticacin Distribucin de llaves Confidencialidad Integridad
69
23
Clientes Delgado
Son equipos que no pueden almacenar informacin (Diskless computers o terminales bobas). Esta tecnologa fuerza al usuario a realizar un logon en la red para habilitar el uso del computador. Esta terminal slo puede ejecutar una lista muy reducida de instrucciones, las cuales permiten la conexin con un servidor de autenticacin. Si el proceso de autenticacin es correcto, el server descarga en la terminal el sistema operativo, el perfil y la capacidad funcional para utilizar en la sesin.
70
Servicios de Directorio
Permite identificar recursos en una red (Impresoras, Servidores de archivo, Controladores de dominio, etc.), brindando un mecanismo para que los mismos se encuentren disponibles a usuarios y programas. Se compone de una base de datos jerrquica que contiene las caractersticas de los recursos, como ser:
Nombre Ubicacin lgica y fsica Sujetos que pueden acceder Operaciones que pueden ser realizadas, etc.
Algunos ejemplos son: LDAP, NDS y Microsoft Active Directory.

71
Access Control
Kerberos
24
Kerberos
Fue creado por el Instituto de Tecnologa de Massachusetts (MIT) a comienzos de los aos 80. La versin actual de Kerberos es la 5, la misma est publicada por el IETF. Es el protocolo de autenticacin por defecto en una implementacin Windows 2000/2003 homognea.
73
Kerberos (Cont.)
Tambin puede brindar servicios de privacidad e integridad. Kerberos utiliza la encripcin para proporcionar cada servicio. Todas las implementaciones de la versin 5 deben soportar DES-CBC-MD5, aunque se permiten otros algoritmos.
74
Terminologa Kerberos
Secreto Compartido: La tcnica de autenticacin se basa en secretos compartidos. Si un secreto es conocido slo por dos entidades, cualquiera de ellas puede verificar la identidad de la otra confirmando que su par conoce dicho secreto. Autenticador: Consiste en una serie de datos encriptados por medio del secreto compartido. Esta informacin debe ser distinta cada vez que se ejecute el protocolo. Consiste en una marca temporal extrada del clock de la estacin de trabajo del cliente.
75
25
Terminologa Kerberos (Cont.)

KDC: Resulta necesario encontrar una manera de que ambas entidades conozcan el secreto compartido cuando inician una transaccin. Kerberos utiliza un "intermediario de confianza" para esta actividad conocido como "Centro de Distribucin de Claves" (KDC). El KDC es un servicio que se ejecuta en un server seguro fsicamente. Clave de Sesin: Cuando un cliente solicita al KDC el acceso a un servidor, ste genera en forma aleatoria una clave denominada "Clave de Sesin" que ser utilizada por el cliente y el servidor para encriptar el dilogo que mantendrn.
76
Terminologa Kerberos (Cont.)

TGT: Cuando un cliente inicia una sesin, solicita al KDC un boleto especial que le permita solicitar posteriormente otros boletos (boletos de servicio), los cuales posibilitarn el acceso a distintos servidores. Este boleto especial recibe el nombre de "Boleto de Concesin de Boletos" (Ticket Granting Ticket). Boleto de Servicio: Es aquel que solicita el cliente al KDC para poder acceder a un servicio que reside en un servidor que implementa Kerberos como protocolo de autenticacin. Tambin se lo conoce como "Ticket Granting Service".
77
Nomenclatura Kerberos
Kx: Es la clave secreta (Resumen producido por una funcin Hash de la contrasea) de x, donde x es un cliente (c), una aplicacin de servidor (s) o el KDC (k). {datos}Kx: Cualquier dato encriptado con la clave secreta de x. {T}Ks: Boleto encriptado con la clave secreta del servidor s (Tener en cuenta que no todo el boleto se encripta). Kx,y: Clave de sesin utilizada por las instancias x , y. {datos}Kx,y: Cualquier dato encriptado con la clave de sesin compartida entre x , y.
78
26
Kerberos en un Ejemplo
Cuando un usuario inicia la sesin, la parte cliente del protocolo enva un mensaje al KDC solicitando un TGT. El mensaje contiene informacin de autenticacin que consiste en un marca temporal, encriptada mediante el resumen de la funcin de hash de la contrasea del usuario. {marca_temporal}Kc. El KDC busca el registro asociado al usuario, donde encontrar el resumen de su clave, y procede a desencriptar el mensaje. Si este proceso es exitoso y la marca temporal es reciente, el usuario es autenticado.
79
Kerberos en un Ejemplo (Cont.)

El KDC genera en forma aleatoria una clave de sesin que compartir con el usuario, Kc,k. El KDC enva al usuario un TGT encriptado con su clave privada {TGT}Kk. Este ticket contiene entre otros el tiempo de validez del boleto, algunas banderas, datos de autorizacin del cliente y la clave de sesin entre ambos, Kc,k . Esta clave se enva en forma separada al usuario, encriptada con la clave de ste. {Kc,k}Kc. El usuario desencripta la clave de sesin, almacena el TGT y est listo para solicitar boletos de servicio cuando haga falta.
80

Cuando el usuario necesita acceder a un servidor que ejecuta Kerberos, solicita un boleto de servicio al KDC para este servidor. Esta peticin contiene, entre otras cosas, el TGT del usuario, el nombre del servidor que se pretende acceder y una marca temporal encriptada usando la clave de sesin entre el KDC y el usuario {marca_temporal}Kc,k. Cuando el KDC recibe la peticin desencripta el TGT, luego extrae la clave de sesin necesaria para desencriptar el autenticador. Si dicho proceso es exitoso y la marca temporal es reciente, se verifica la identidad del usuario.
81
27

El KDC prepara el boleto de servicio copiando algunos campos contenidos en el TGT, agrega una clave de sesin para el cliente y el servidor, Kc,s generada aleatoriamente, establece el tiempo de vida y encripta dicho boleto usando la clave del servidor {T}Ks Posteriormente el KDC enva el boleto al cliente y una copia de la clave de sesin recin generada, encriptada con la clave que comparte con el cliente {Kc,s}Kc,k
82

Cuando recibe los mensajes, el cliente desencripta y obtiene la clave de sesin que usar con el servidor Kc,s y enva el boleto de servicio a dicho server {T}Ks, junto con un autenticador encriptado con esta nueva clave de sesin {marca_temporal}Kc,s. El servidor desencripta el boleto, obtiene la clave de sesin Kc,s y desencripta el autenticador. Si este proceso fue exitoso y la marca temporal es reciente, se autentica al usuario como vlido. Posteriormente los datos de autorizacin contenidos en el boleto determinarn si este usuario puede acceder a los servicios que desea.
83
84
28
Formato de un Ticket
Existen tres campos que no estn encriptados, el resto se encripta para proteccin usando la clave del servidor donde el ticket ser presentado. Campos no encriptados:
tkt-vno: Versin del formato del ticket. Aqu la 5. Realm: Nombre del reino (dominio) donde el ticket fue emitido. Sname: Nombre del servidor
85
Formato de un Ticket (Cont.)

Campos encriptados:
Flags: Se usan banderas para indicar diferentes condiciones del ticket. Key: Clave de sesin compartida entre el cliente y el servidor. Crealm: Nombre del reino (dominio) del cliente. Cname: Nombre del cliente. Authtime: Marca temporal que el KDC especifica cuando emite un TGT.
86
Formato de un Ticket (Cont.)

Startime: Tiempo a partir del cual el ticket es vlido. Endtime: Tiempo en que el ticket expira. Renew-till: (Opcional) Mximo endtime que puede tener un ticket con la bandera RENEWABLE activada. Caddr: (Opcional) Una o ms direcciones desde las cuales el ticket puede ser utilizado. Si se omite, el ticket puede usarse desde cualquier direccin. Authorization-data: Privilegios del usuario. Kerberos no interpreta este campo, su comprensin corre por cuenta del servicio donde el ticket se presentar.
87
29
Debilidades de Kerberos
El KDC es un simple punto de falla. El KDC debe estar siempre disponible para manejar las solicitudes de los usuarios. Las claves secretas y las claves de sesin son almacenadas temporalmente en las estaciones de trabajo de los usuarios. Kerberos puede ser vulnerable a ataques a las passwords. El trfico de red no es protegido por Kerberos si no se habilita la funcionalidad de encripcin. Si un usuario cambia su password, la base de datos del KDC debe ser actualizada.
88
Access Control
Modelos de Control de Acceso
Modelos de Control de Acceso

Una vez que el sujeto haya sido autenticado y su registro de actividad iniciado, debe ser autorizado para poder acceder a los recursos disponibles o ejecutar acciones. Existen tres modelos principales de Control de Acceso, a saber:
Control de Acceso Discrecional Control de Acceso Mandatario Control de Acceso no Discrecional o basado en Roles
90
30
Control de Acceso Discrecional

Le permite al propietario o creador de un objeto, definir y controlar qu sujetos pueden acceder al mismo. Se implementan frecuentemente mediante listas de control de acceso (ACL). Es el mas implementado en ambientas comerciales.
91
Control de Acceso Mandatario

Se implementa mediante el uso de etiquetas. Los usuarios son etiquetados por nivel de importancia; los objetos son etiquetados por su nivel de seguridad o clasificacin. Es muy comn su empleo en entornos militares donde las etiquetas ms comunes son:
Top Secret Secret Confidential Sensitive but Unclassified (SBU) Unclassified
En esta tcnica, un sujeto est habilitado a acceder a objetos que tengan el mismo nivel de clasificacin o etiqueta, o menor.
92
Control de Acceso no Discrecional (Roles)

Define la habilidad que tiene un sujeto de acceder a objetos conforme al rol o tarea que desempea en la organizacin. Son utilizados en entornos con cambios frecuentes de personas, por esta causa el acceso se basa en una descripcin del puesto que ocupa en vez de la identidad del sujeto.
93
31
Control de Acceso no Discrecional (Roles) (Cont.)

Los accesos basados en roles y los basados en grupos suelen confundirse. Mientras que ambos actan como contenedores que almacenan usuarios en unidades de gestin, en los grupos un usuario puede pertenecer a uno o ms de estos grupos, con permisos diferentes en cada uno de ellos, incluso puede poseer permisos individuales. En cambio en el esquema de roles un usuario puede tener un nico rol.
94
Otros Modelos de Control de Acceso

El Control de Acceso basado en Enrejados (Lattice) es una variacin del control no discrecional, en el cual se definen lmites superiores e inferiores para cada relacin existente entre un sujeto y un objeto. El Control de Acceso basado en Reglas es una variacin del control mandatario, en el cual se usa un conjunto de reglas, filtros y restricciones para determinar lo que puede o no ocurrir en un sistema. Los firewalls, proxies y routers son ejemplos de este tipo de control de acceso.
95
Access Control
Administracin de Control de Acceso
32
Administracin de Control de Acceso

Existen tres tipos principales de administracin de control de acceso:
Control de Acceso Centralizado Control de Acceso Descentralizado Control de Acceso Hbrido
97
Control de Acceso Centralizado

Implica que toda verificacin de autorizacin es ejecutada por una simple entidad dentro de un sistema. Este mtodo le permite a un dispositivo, o a un nico individuo, gestionar el control de acceso. La carga administrativa es baja pues todo es realizado desde un slo lugar, sin embargo representa tambin un nico punto de falla. Ejemplos de esta metodologa lo constituyen:
TACACS+ RADIUS. DIAMETER
98
TACACS+
TACACS+ (Terminal Access Controller Access Control System Plus) es una versin mejorada del TACACS original. TACACS+ es un protocolo de Autenticacin, Autorizacin, y Auditora (AAA) que reside en un servidor centralizado. Existen al menos tres versiones de TACACS:
TACACS XTACACS TACACS+
99
33
TACACS+ (Cont.)
Es una versin en constante mejora de TACACS que permite al servidor TACACS+ brindar servicios de AAA de manera independiente. Cada servicio puede ser usado con su propia base de datos o puede ser usado en conjunto con los dems servicios. No es compatible con las otras versiones antecesoras. Se encuentra como una propuesta en la IETF, pero no es un estndar.
100
TACACS+ (Cont.)
Permite encriptar toda la informacin que se intercambia entre el cliente y el servidor. TACACS y sus diferentes versiones utilizan TCP como protocolo de transporte y tienen reservado el nmero de puerto 49 para la conexin.
101
RADIUS
RADIUS (Remote Authentication Dial-In User Service) es otra alternativa para realizar AAA. Consiste en un sistema de seguridad distribuida que asegura el acceso remoto a redes y las protege de accesos no autorizados. Segn la definicin del protocolo, RADIUS tiene reservados los nmeros de puerto 1812 (para autenticacin) y 1813 (para auditora), pero existen muchas implementaciones que utilizan los puertos 1645 y 1646 respectivamente.
102
34
RADIUS (Cont.)
El servidor es ejecutado en una computadora, generalmente dentro del sitio propietario de la red, mientras que el cliente reside en el NAS y puede estar distribuido en toda la red. El NAS (Servidor de Acceso a la Red) opera como el cliente, reenviando la informacin de autenticacin de los usuarios al servidor RADIUS configurado, actuando de acuerdo a la respuesta del servidor. Los servidores RADIUS son los responsables de recibir los requerimientos de los usuarios, autenticarlos y devolver toda la informacin necesaria para que el cliente habilite los servicios correspondientes.
103
RADIUS (Cont.)
El servidor RADIUS puede mantener una base de datos de los usuarios de forma local, utilizar la base de datos de Windows, o un directorio LDAP. Las transacciones entre el cliente y el servidor son autenticadas por un secreto compartido, que no se enva por la red. Las contraseas son enviadas en forma cifrada. El servidor RADIUS soporta diferentes mtodos para autenticar un usuario. Soporta PPP, PAP, CHAP, MSCHAP, Unix login, etc.
104
RADIUS
105
35
TACACS+ versus RADIUS

TACACS +
Protocolo de capa de transporte Encripcin de datos TCP Encripcin de todo el trfico entre el cliente y el servidor Utiliza los servicios de manera independiente. Permite autenticar con Kerberos
RADIUS
UDP Debe implementar controles. Ms complejo Solo encripcin de contraseas
Autenticacin y autorizacin
Combina ambos en el mismo paquete. Se autentica y se pasan sus permisos
Soporte multiprotocolo
Soporte multiprotocolo
No soporta algunos protocolos: AppleTalk Remote Access (ARAP) protocol NetBIOS Frame Protocol Control protocol Novell Asynchronous Services Interface (NASI) X.25 PAD connection
Administrador de Routers
Provee dos mtodos: asignar niveles de privilegios a los comandos y especificar en el perfil del usuario o del grupo de usuarios explcitamente el conjunto de comandos que puede ejecutar.
No permite asignar conjuntos de comandos habilitados o deshabilitados a los usuarios, por lo que no es til para realizar autenticacin de administradores de dispositivos
106
DIAMETER
Es un protocolo de autenticacin que tiene la capacidad de autenticar varios tipos de dispositivos sobre diferentes conexiones. Fue desarrollado para operar con IPSec.
107
Control de Acceso Descentralizado

Implica que toda verificacin de autorizacin es ejecutada por varias entidades dentro de un sistema. Requiere que varios equipos de personas gestionen el control de acceso. La carga administrativa es alta, pero no presenta un nico punto de falla. Un ejemplo de esta metodologa lo constituyen los Dominios y sus Relaciones de confianza.
108
36
Control de Acceso Hbrido

Combina el control de acceso centralizado con el descentralizado. El control centralizado se utiliza para acceder a recursos crticos de la organizacin:
Logon a dominios Acceso a sistema de archivo Acceso a bases de datos, etc.
El control descentralizado lo emplean los usuarios, a fin de determinar quines van a acceder a los archivos individuales y directorios que ellos mismos crearon.
109
Access Control
Monitoreo, Auditora y Logs
Monitoreo, Auditora y Logs

Monitoreo es el proceso por el cual las actividades no autorizadas en un sistema, son detectadas. El proceso de monitoreo es necesario para detectar acciones maliciosas de sujetos, intentos de intrusiones y fallas en el sistema. La capacidad de loguear eventos se encuentra incorporada en la mayora de los sistemas operativos y aplicaciones. Cuando exista la cantidad suficiente de logs habilitados, ms informacin existir para poder obtener detalles sobre la ocurrencia de un determinado evento.
111
37
Access Control
Sistemas de Deteccin de Intrusos
Sistemas de Deteccin de Intrusos (IDS)

Un IDS es un producto que automatiza la inspeccin de los eventos de un sistema y la generacin de los logs correspondientes, en tiempo real. Son utilizados principalmente para detectar intentos de intrusin.
113
Sistemas de Deteccin de Intrusos (IDS) (Cont.)

Los ataques reconocidos por un IDS pueden provenir de conexiones externas, cdigos maliciosos, sujetos en conexiones internas que intentan ejecutar acciones no autorizadas, etc. Un IDS puede detectar actividad sospechosa, actuando como consecuencia:
Producir logs Enviar alertas a los administradores Bloquear el acceso a archivos de sistema importantes Identificar el punto de origen de la intrusin Reconfigurar routers y firewalls, etc.
114
38
IDS - Principales Funciones

Entre las funciones tpicas de un IDS, encontramos:
Monitoreo de eventos del sistema y comportamiento de usuarios. Registro de los eventos ms importantes. Comprobacin continua del sistema. Deteccin de ataques conocidos como no conocidos. Operacin en tiempo real. Generacin de alarmas. Actualizacin frecuente de su base de datos. Auto-configuracin de dispositivos de red.
115
IDS - Limitaciones
Entre las limitaciones y problemas ms importantes, encontramos:
Falsos positivos (Falsas alarmas). Falsos negativos (Ataques no detectados). Necesidad de actualizar constantemente su base de datos de patrones y firmas. Escasa o nula defensa ante nuevos ataques o ataques sofisticados. Dificultad de operar en entornos conmutados.
116
IDS - Tipos de Anlisis

Los IDS trabajan basados en algunos de los siguientes tipos de anlisis:
Anlisis de patrones Anlisis estadstico Anlisis de integridad
117
39
IDS - Su Relacin con el Firewall

El firewall es una herramienta de seguridad informtica basada en la aplicacin de un sistema de restricciones y excepciones. Los sistemas de deteccin de intrusiones son equivalentes a los equipos de video y a los sistemas de sensores y alarmas contra ladrones.
118
IDS - Su Relacin con el Firewall (Cont.)
119
IDS - Acciones y Contramedidas

Un IDS frente a la deteccin de un evento positivo podr:
Registrar la informacin en un servidor de logs. Enviar alarmas a la consola de administracin. Disparar alarmas va mail, pager, etc. Realizar un DROP del paquete intrusivo. Realizar un RESET de la conexin intrusiva. Bloquear el trfico intruso interactuando con el Firewall y/o router de borde.
120
40
IDS - Logs y Alarmas
121
IDS - Reset de Conexiones
122
IDS - Bloqueo de Trfico
123
41
Tipos de IDS
Segn su arquitectura, diseo y ubicacin, podemos encontrar dos tipos de IDS a saber:
IDS de Red (NIDS) IDS de Host (HIDS)
124
IDS de Red (NIDS)

Actan sobre un segmento de red capturando y analizando paquetes, buscando patrones que supongan algn tipo de ataque. Constituyen dispositivos de red configurados en modo promiscuo. La implementacin del monitoreo basado en red o NIDS, implica la localizacin de dispositivos de sondeo o Sensores en determinados segmentos de la red.
125
IDS de Red (NIDS) (Cont.)

Se encargarn de capturar y analizar el trfico en busca de actividades maliciosas o no autorizadas en tiempo real, y podrn tomar medidas preventivas cuando sea necesario. Los sensores deben ser desplegados en puntos crticos de la red, de manera que los administradores de seguridad puedan supervisar los eventos de toda la red mientras se est desarrollando, independientemente de la ubicacin del objetivo del ataque.
126
42
IDS de Host (HIDS)

Implementado sobre host crticos y expuestos (Servidor web, correo). Permite la auditora de los sistemas de archivos, recursos y logs. Reporta los eventos a una consola central de administracin. Puede supervisar los procesos del sistema operativo y proteger los recursos crticos. Las implementaciones actuales requieren que se instale un software agente en el host para supervisar las actividades y realizar el anlisis correspondiente.
127
IDS - Herramientas Relacionadas

Existen herramientas que expanden las capacidades de los IDS hacindolos ms eficientes contra falsos positivos:
Honey Pots Padded Cell Vulnerability Assessment
128
Honey Pots
Estn formados por dispositivos individuales o redes enteras que sirven de seuelos a los intrusos.
129
43
Padded Cell
Es similar a un Honey Pot, pero posibilita aislar al intruso usando una manera distinta. Cuando un IDS detecta a un intruso, ste es automticamente transferido a la padded cell, la cual tiene un aspecto similar al de la red actual. Aqu el intruso no puede ejecutar actividades maliciosas o acceder a informacin crtica.
130
Vulnerability Assessment
Es utilizado para comprobar la existencia de vulnerabilidades conocidas en nuestro sistema. Un Vulnerability Assessment suele consistir en la ejecucin de una serie de herramientas automticas conocidas como Scanners de Vulnerabilidades, las cuales configuradas y ejecutadas del modo correcto, permiten al profesional de seguridad, testear el sistema o red objetivo en busca de vulnerabilidades, debilidades o errores comunes de configuracin.
131
Vulnerability Assessment (Cont.)

La ejecucin peridica de este tipo de servicios, le permite:
Alertar acerca de configuraciones incorrectas en sus firewalls, host y dispositivos de borde. Descubrir vulnerabilidades como resultado de cambios en la configuracin. Detectar la falta de parches y actualizaciones en los sistemas de la compaa. Localizar debilidades y vulnerabilidades conocidas antes de que los atacantes lo hagan.
132
44
Vulnerability Assessment (Cont.)

A diferencia de los Penetration Test, la ejecucin de un Vulnerability Assessment tiene un carcter menos intrusivo. Mientras que el primero intenta la explotacin real de la debilidad o vulnerabilidad encontrada, a fin de confirmar su existencia, el segundo apunta especficamente a identificar la existencia de vulnerabilidades o debilidades conocidas.
133
Access Control
Amenazas - Ataques
Ataques
Entre los mtodos de ataque ms importantes, encontramos: Password Crackers (Fuerza Bruta y Diccionario) Penetration Testing Denegacin de Servicio (DoS) Spoofing
Man-in-the-Middle Sniffers
135
45
Access Control
Referencias y Lecturas Complementarias
Referencias y Lecturas Complementarias

CISSP All-in-One Exam Guide, Third Edition (All-in-One)
By Shon Harris (McGraw-Hill Osborne Media) ISBN: 0072257121
Official (ISC)2 Guide to the CISSP Exam

By Susan Hansche (AUERBACH) ISBN: 084931707X
The CISSP Prep Guide: Gold Edition

By Ronald L. Krutz, Russell Dean Vines (Wiley) ISBN: 047126802X
CISSP Certification Training Guide

By Roberta Bragg (Que) ISBN: 078972801X
CCCure.Org WebSite: http://www.cccure.org

By Clement Dupuis
Advanced CISSP Prep Guide: Exam Q&A

By Ronald L. Krutz, Russell Dean Vines (Wiley) ISBN: 0471236632
Information Security Management Handbook, Fifth Edition By Harold F. Tipton, Micki Krause (Que) ISBN: 0849319978 CISSP: Certified Information Systems Security Profesional Study Guide, Third Edition
By James M. Stewart, Ed Tittel, Mike Chapple (Sybex) ISBN: 0782144438
137
Access Control
Preguntas?
46

05 AccessControlv3

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

05 AccessControlv3

Enviado por

Direitos autorais:

Formatos disponíveis

CISSP Security Training Access Control Systems and Methodology

CISSP Security Training Access Control Systems and Methodology

CISSP Security Training - Access Control Copyright 2004-2008 SICinformtica S.R.L.

Aspectos Generales (Cont.)

CISSP Security Training - Access Control Copyright 2004-2008 SICinformtica S.R.L.

Aspectos Generales (Cont.)

CISSP Security Training - Access Control Copyright 2004-2008 SICinformtica S.R.L.

CISSP Security Training Access Control Systems and Methodology

CISSP Security Training - Access Control Copyright 2004-2008 SICinformtica S.R.L.

CISSP Security Training - Access Control Copyright 2004-2008 SICinformtica S.R.L.

CISSP Security Training - Access Control Copyright 2004-2008 SICinformtica S.R.L.

CISSP Security Training Access Control Systems and Methodology

CISSP Security Training - Access Control Copyright 2004-2008 SICinformtica S.R.L.

Tipos de Control de Acceso

Tipos de Control de Acceso

Tambin pueden encontrarse los siguientes:

CISSP Security Training - Access Control Copyright 2004-2008 SICinformtica S.R.L.

CISSP Security Training Access Control Systems and Methodology

Control de Acceso Preventivo

CISSP Security Training - Access Control Copyright 2004-2008 SICinformtica S.R.L.

Control de Acceso Detectivo

CISSP Security Training - Access Control Copyright 2004-2008 SICinformtica S.R.L.

Control de Acceso Correctivo

CISSP Security Training - Access Control Copyright 2004-2008 SICinformtica S.R.L.

CISSP Security Training Access Control Systems and Methodology

Control de Acceso de Disuasin

CISSP Security Training - Access Control Copyright 2004-2008 SICinformtica S.R.L.

Control de Acceso de Recuperacin

CISSP Security Training - Access Control Copyright 2004-2008 SICinformtica S.R.L.

Control de Acceso de Compensacin

CISSP Security Training - Access Control Copyright 2004-2008 SICinformtica S.R.L.

CISSP Security Training Access Control Systems and Methodology

Implementacin del Control de Acceso

Implementacin de Control de Acceso

CISSP Security Training - Access Control Copyright 2004-2008 SICinformtica S.R.L.

Control de Acceso Administrativo

CISSP Security Training - Access Control Copyright 2004-2008 SICinformtica S.R.L.

CISSP Security Training Access Control Systems and Methodology

Control de Acceso Lgico/Tcnico

CISSP Security Training - Access Control Copyright 2004-2008 SICinformtica S.R.L.

Control de Acceso Fsico

CISSP Security Training - Access Control Copyright 2004-2008 SICinformtica S.R.L.

Identificacin, Autenticacin, Autorizacin y Accounting

CISSP Security Training Access Control Systems and Methodology

Pasos para Acceder a un Objeto

CISSP Security Training - Access Control Copyright 2004-2008 SICinformtica S.R.L.

CISSP Security Training - Access Control Copyright 2004-2008 SICinformtica S.R.L.

CISSP Security Training - Access Control Copyright 2004-2008 SICinformtica S.R.L.

CISSP Security Training Access Control Systems and Methodology

CISSP Security Training - Access Control Copyright 2004-2008 SICinformtica S.R.L.

CISSP Security Training - Access Control Copyright 2004-2008 SICinformtica S.R.L.

CISSP Security Training - Access Control Copyright 2004-2008 SICinformtica S.R.L.

CISSP Security Training Access Control Systems and Methodology

CISSP Security Training - Access Control Copyright 2004-2008 SICinformtica S.R.L.

El conjunto de acciones a ser auditadas pueden ser:

CISSP Security Training - Access Control Copyright 2004-2008 SICinformtica S.R.L.

CISSP Security Training Access Control Systems and Methodology

CISSP Security Training - Access Control Copyright 2004-2008 SICinformtica S.R.L.

CISSP Security Training - Access Control Copyright 2004-2008 SICinformtica S.R.L.

Tcnicas de Identificacin y Autenticacin

CISSP Security Training Access Control Systems and Methodology

Tcnicas de Identificacin y Autenticacin

CISSP Security Training - Access Control Copyright 2004-2008 SICinformtica S.R.L.