Escolar Documentos
Profissional Documentos
Cultura Documentos
Access Control
Agenda
Aspectos generales Tipos de control de acceso Implementacin de control de acceso Identificacin, autenticacin, autorizacin y auditora Tcnicas de identificacin y autenticacin
Passwords Sistemas Biomtricos Tokens / Tickets / Single Sign On
Kerberos Modelos de control de acceso Administracin de control de acceso Monitoreo, Auditora y Logs Sistemas de Deteccin de Intrusos (IDS) Mtodos de ataque Referencias y Lecturas Complementarias Preguntas
CISSP Security Training - Access Control Copyright 2004-2008 SICinformtica S.R.L.
Access Control
Aspectos Generales
Aspectos Generales
La transferencia de informacin desde un objeto a un sujeto es llamada acceso. Los sujetos son entidades activas, que pueden estar representados por:
Usuarios Programas Procesos Computadoras, etc.
CIA Triad
El Control de Acceso se implementa para asegurar:
Confidencialidad Integridad Disponibilidad
Confidencialidad
Es la necesidad de que la informacin slo sea conocida por personas autorizadas.
Integridad
Es la caracterstica que hace que el contenido de la informacin permanezca inalterado, a menos que sea modificado por personal autorizado
Disponibilidad
Es la capacidad que permite que la informacin se encuentre siempre disponible, para que pueda ser procesada por el personal autorizado.
10
Access Control
12
13
14
15
16
17
18
Access Control
20
21
22
23
Access Control
25
Identificacin
Es el proceso por el cual un sujeto proporciona una identidad y una cuenta es iniciada. Un usuario puede utilizar como identidad:
Username Logon ID PIN, etc.
26
Autenticacin
Es el proceso de verificar que una identidad proporcionada es vlida. La autenticacin requiere que el sujeto proporcione informacin adicional que debe corresponder exactamente con la identidad indicada. El mtodo ms comn, es el empleo de Passwords.
27
Autenticacin (Cont.)
Los tipos de informacin ms comunes que pueden ser empleados son: Tipo 1: Un factor de autenticacin por Tipo 1 es Algo que usted conozca, como ser: una password, un PIN, etc. Tipo 2: Un factor de autenticacin por Tipo 2 es Algo que usted tiene, como ser: una smart card, un token, etc. Tipo 3: Un factor de autenticacin por Tipo 3 es Algo que usted es, como ser: Una huella digital, anlisis de voz, escner de retina o iris, etc.
28
Autenticacin (Cont.)
En adicin a estos, existen otras como ser:
Algo que usted hace, tanto como: firmar un documento, escribir una frase (Teclados dinmicos), etc. normalmente incluido dentro del Tipo 3, Donde usted se encuentra, tanto como: una PC especfica, una lnea telefnica determinada, etc. normalmente incluido dentro del Tipo 2.
29
Autorizacin
Puede ser definido como una poltica que es usada para permitir o denegar el acceso a un recurso. Esto puede ser un componente avanzado como una tarjeta inteligente, un dispositivo biomtrico o un dispositivo de acceso a la red como un router, access point wireless o access server. Tambin puede ser: un servidor de archivos o recursos que asigne determinados permisos como los sistemas operativos de red (Windows 2000, Novell, etc).
30
10
Autorizacin (Cont.)
El hecho de que un sujeto haya sido identificado y autenticado, no significa que haya sido autorizado. Como ejemplo podemos citar que Un usuario puede estar habilitado para imprimir un documento, pero no para alterar la cola de impresin.
31
Auditora (Accounting)
Es el proceso de registrar eventos, errores, accesos e intentos de autenticaciones en un sistema. Existen varias razones para que un administrador habilite esta funcionalidad:
Deteccin de intrusiones Reconstruccin de eventos y condiciones del sistema Obtener evidencias para acciones legales Producir reportes de problemas, etc.
32
Eventos de Sistema
Monitoreo de performance Intentos de logon (exitosos y fracasados) Logon ID Fecha y hora de cada intento de logon Bloqueos de cuentas de usuario Uso de herramientas administrativas Uso de derechos y funciones Modificacin de archivos de configuracin Modificacin o eliminacin de archivos crticos, etc.
33
11
Eventos de Aplicaciones
Mensajes de error Apertura y cierre de archivos Modificacin de archivos Violaciones de seguridad en la aplicacin, etc.
34
Eventos de Usuarios
Identificacin e intentos de autenticacin Archivos, servicios y recursos utilizados Comandos ejecutados Violaciones de seguridad
35
Access Control
12
37
Passwords
Es la tcnica de autenticacin ms usada, pero tambin es considerada la ms dbil. Las fallas habituales de seguridad se deben a:
Los usuarios elijen frecuentemente passwords que son fciles de recordar y, en consecuencia, fciles de romper. Las passwords aleatorias son difciles de recordar. Las passwords son fciles de compartir, olvidar y escribir. Pueden ser robadas fcilmente, por observacin, grabacin, etc.
38
Passwords (Cont.)
Algunas passwords se transmiten en texto claro o protegidas por tcnicas fciles de romper. Passwords cortas pueden ser descubiertas rpidamente por ataques de fuerza bruta, etc.
39
13
Tipos de Password
Existen dos tipos de passwords:
Estticas Dinmicas
Las passwords Estticas siempre permanecen iguales y solo cambian cuando expira su tiempo de vida. Las passwords Dinmicas cambian despus de un perodo de tiempo de uso. Las One-Time Passwords son una variante de esta categora.
40
41
42
14
43
Ataques a Passwords
Cuando un atacante busca obtener las passwords, puede utilizar diferentes mtodos, como ser:
Anlisis de trfico de red Acceso al archivo de passwords Ataques por fuerza bruta Ataques por diccionario Ingeniera social, etc.
44
45
15
Sistemas Biomtricos
Los sistemas biomtricos se basan en caractersticas fsicas del usuario a identificar o en patrones de conducta. El proceso general de autenticacin sigue unos pasos comunes a todos los modelos de autenticacin biomtrica:
Extraccin de ciertas caractersticas de la muestra (por ejemplo, el detalle de una huella dactilar). Comparacin de tales caractersticas con las almacenadas en una base de datos. Finalmente la decisin de si el usuario es vlido o no.
46
47
48
16
49
50
51
17
Enrollment
Es el proceso en el cual se toma la muestra del atributo fsico del individuo, la cual ser almacenada en una base de datos sobre la cual se verificar posteriormente su identidad. Muchas veces se necesita tomar repetidas muestras del atributo hasta que se logra finalmente. Esto puede hacer que los tiempos de enrollment sean altos y el sistema tenga baja aceptacin.
52
Throughput
Comprende el proceso propiamente dicho de identificacin o autenticacin de una persona. Es cuando la persona somete su caracterstica fsica al dispositivo biomtrico, quien lo compara con la almacenada en la base de datos. Al igual que el proceso de enrollment, puede necesitarse repetir la operacin de reconocimiento ms de una vez, con lo cual los tiempos de respuesta sern altos, perdiendo funcionalidad.
53
Precisin
Los ms efectivos, por orden, son:
Palm Scan Hand Geometry Iris Scan Retina Scan Fingerprint Voice Verification Facial Recognition Signature Dynamics Keystroke Dynamics
54
18
55
56
57
19
Tokens
Son dispositivos generadores de password que un sujeto lleva con l. Los dispositivos tokens pertenecen a la clase Algo que usted tiene (Tipo 2) Existen cuatro tipos de tokens:
Tokens estticos Tokens sincrnicos basados en tiempo Tokens sincrnicos basados en eventos Tokens asincrnicos basados en desafo/respuesta
58
Tokens Estticos
Estos tokens requieren de un factor adicional para brindar autenticacin, como ser una password o una caracterstica biomtrica. La mayora de estos dispositivos almacenan una clave criptogrfica como ser, una clave privada, credenciales de logon encriptadas, etc. Son utilizados principalmente como tcnica de identificacin en lugar de autenticacin. Algunos ejemplos son:
Smart card Floppy disk USB device, etc
CISSP Security Training - Access Control Copyright 2004-2008 SICinformtica S.R.L.
59
60
20
61
62
Tickets
Este mecanismo emplea una tercera entidad, aparte del cliente y el servidor, la cual brinda el servicio de autenticacin. Es importante aqu citar el concepto de Single Sign On (SSO).
63
21
64
Scripts
Consiste en la forma ms sencilla de implementar un sistema single sign-on. Cuando un usuario solicita acceso a un recurso, se corre un script en background que ejecuta los mismos comandos y tareas que dicho usuario debera ingresar para autenticarse debidamente frente a este recurso. Requiere cambios cada vez que un usuario modifica su ID o password. Debido a que este tipo de scripts contienen credenciales de usuario, deben ser almacenados en un rea protegida.
CISSP Security Training - Access Control Copyright 2004-2008 SICinformtica S.R.L.
65
SESAME
SESAME (Secure European System for Applications in a Multi-vendor Environment) es un proyecto que fue desarrollado para extender la funcionalidad de Kerberos y mejorar sus debilidades. Mientras que Kerberos slo emplea algoritmos de encripcin Simtricos, SESAME utiliza algoritmos de encripcin Simtricos y Asimtricos para proteger el intercambio de datos. Mientras que Kerberos emplea Tickets para la autenticacin de sujetos, SESAME utiliza Certificados de Atributos de Privilegio (PACs).
66
22
SESAME (Cont.)
Estos PACs contienen:
Identidad del sujeto Capacidades de acceso para cada objeto Perodo de tiempo de acceso Tiempo de vida del PAC
Cada PAC est firmado digitalmente. En este esquema, la tercera parte de confianza se denomina Servidor de Atributos de Privilegio (PAS), el cual tiene un rol similar al KDC en el esquema Kerberos.
67
SESAME (Cont.)
El proceso de autenticacin es el siguiente:
El usuario enva sus credenciales al Servidor de Autenticacin (AS). El AS enva un token al cliente para que ste pueda comunicarse con el PAS. Cuando el usuario requiere acceso a un recurso, enva el token al PAS. El PAS crea y enva un PAC al usuario. El usuario utiliza el PAC para autenticarse frente al recurso que pretende acceder.
68
KryptoKnight
Relacin peer to peer. Soporta:
Administracin Autenticacin Distribucin de llaves Confidencialidad Integridad
69
23
Clientes Delgado
Son equipos que no pueden almacenar informacin (Diskless computers o terminales bobas). Esta tecnologa fuerza al usuario a realizar un logon en la red para habilitar el uso del computador. Esta terminal slo puede ejecutar una lista muy reducida de instrucciones, las cuales permiten la conexin con un servidor de autenticacin. Si el proceso de autenticacin es correcto, el server descarga en la terminal el sistema operativo, el perfil y la capacidad funcional para utilizar en la sesin.
70
Servicios de Directorio
Permite identificar recursos en una red (Impresoras, Servidores de archivo, Controladores de dominio, etc.), brindando un mecanismo para que los mismos se encuentren disponibles a usuarios y programas. Se compone de una base de datos jerrquica que contiene las caractersticas de los recursos, como ser:
Nombre Ubicacin lgica y fsica Sujetos que pueden acceder Operaciones que pueden ser realizadas, etc.
71
Access Control
Kerberos
24
Kerberos
Fue creado por el Instituto de Tecnologa de Massachusetts (MIT) a comienzos de los aos 80. La versin actual de Kerberos es la 5, la misma est publicada por el IETF. Es el protocolo de autenticacin por defecto en una implementacin Windows 2000/2003 homognea.
73
Kerberos (Cont.)
Tambin puede brindar servicios de privacidad e integridad. Kerberos utiliza la encripcin para proporcionar cada servicio. Todas las implementaciones de la versin 5 deben soportar DES-CBC-MD5, aunque se permiten otros algoritmos.
74
Terminologa Kerberos
Secreto Compartido: La tcnica de autenticacin se basa en secretos compartidos. Si un secreto es conocido slo por dos entidades, cualquiera de ellas puede verificar la identidad de la otra confirmando que su par conoce dicho secreto. Autenticador: Consiste en una serie de datos encriptados por medio del secreto compartido. Esta informacin debe ser distinta cada vez que se ejecute el protocolo. Consiste en una marca temporal extrada del clock de la estacin de trabajo del cliente.
75
25
76
77
Nomenclatura Kerberos
Kx: Es la clave secreta (Resumen producido por una funcin Hash de la contrasea) de x, donde x es un cliente (c), una aplicacin de servidor (s) o el KDC (k). {datos}Kx: Cualquier dato encriptado con la clave secreta de x. {T}Ks: Boleto encriptado con la clave secreta del servidor s (Tener en cuenta que no todo el boleto se encripta). Kx,y: Clave de sesin utilizada por las instancias x , y. {datos}Kx,y: Cualquier dato encriptado con la clave de sesin compartida entre x , y.
CISSP Security Training - Access Control Copyright 2004-2008 SICinformtica S.R.L.
78
26
Kerberos en un Ejemplo
Cuando un usuario inicia la sesin, la parte cliente del protocolo enva un mensaje al KDC solicitando un TGT. El mensaje contiene informacin de autenticacin que consiste en un marca temporal, encriptada mediante el resumen de la funcin de hash de la contrasea del usuario. {marca_temporal}Kc. El KDC busca el registro asociado al usuario, donde encontrar el resumen de su clave, y procede a desencriptar el mensaje. Si este proceso es exitoso y la marca temporal es reciente, el usuario es autenticado.
79
80
81
27
82
83
84
28
Formato de un Ticket
Existen tres campos que no estn encriptados, el resto se encripta para proteccin usando la clave del servidor donde el ticket ser presentado. Campos no encriptados:
tkt-vno: Versin del formato del ticket. Aqu la 5. Realm: Nombre del reino (dominio) donde el ticket fue emitido. Sname: Nombre del servidor
85
86
87
29
Debilidades de Kerberos
El KDC es un simple punto de falla. El KDC debe estar siempre disponible para manejar las solicitudes de los usuarios. Las claves secretas y las claves de sesin son almacenadas temporalmente en las estaciones de trabajo de los usuarios. Kerberos puede ser vulnerable a ataques a las passwords. El trfico de red no es protegido por Kerberos si no se habilita la funcionalidad de encripcin. Si un usuario cambia su password, la base de datos del KDC debe ser actualizada.
CISSP Security Training - Access Control Copyright 2004-2008 SICinformtica S.R.L.
88
Access Control
90
30
91
En esta tcnica, un sujeto est habilitado a acceder a objetos que tengan el mismo nivel de clasificacin o etiqueta, o menor.
CISSP Security Training - Access Control Copyright 2004-2008 SICinformtica S.R.L.
92
93
31
94
95
Access Control
32
97
98
TACACS+
TACACS+ (Terminal Access Controller Access Control System Plus) es una versin mejorada del TACACS original. TACACS+ es un protocolo de Autenticacin, Autorizacin, y Auditora (AAA) que reside en un servidor centralizado. Existen al menos tres versiones de TACACS:
TACACS XTACACS TACACS+
99
33
TACACS+ (Cont.)
Es una versin en constante mejora de TACACS que permite al servidor TACACS+ brindar servicios de AAA de manera independiente. Cada servicio puede ser usado con su propia base de datos o puede ser usado en conjunto con los dems servicios. No es compatible con las otras versiones antecesoras. Se encuentra como una propuesta en la IETF, pero no es un estndar.
100
TACACS+ (Cont.)
Permite encriptar toda la informacin que se intercambia entre el cliente y el servidor. TACACS y sus diferentes versiones utilizan TCP como protocolo de transporte y tienen reservado el nmero de puerto 49 para la conexin.
101
RADIUS
RADIUS (Remote Authentication Dial-In User Service) es otra alternativa para realizar AAA. Consiste en un sistema de seguridad distribuida que asegura el acceso remoto a redes y las protege de accesos no autorizados. Segn la definicin del protocolo, RADIUS tiene reservados los nmeros de puerto 1812 (para autenticacin) y 1813 (para auditora), pero existen muchas implementaciones que utilizan los puertos 1645 y 1646 respectivamente.
102
34
RADIUS (Cont.)
El servidor es ejecutado en una computadora, generalmente dentro del sitio propietario de la red, mientras que el cliente reside en el NAS y puede estar distribuido en toda la red. El NAS (Servidor de Acceso a la Red) opera como el cliente, reenviando la informacin de autenticacin de los usuarios al servidor RADIUS configurado, actuando de acuerdo a la respuesta del servidor. Los servidores RADIUS son los responsables de recibir los requerimientos de los usuarios, autenticarlos y devolver toda la informacin necesaria para que el cliente habilite los servicios correspondientes.
CISSP Security Training - Access Control Copyright 2004-2008 SICinformtica S.R.L.
103
RADIUS (Cont.)
El servidor RADIUS puede mantener una base de datos de los usuarios de forma local, utilizar la base de datos de Windows, o un directorio LDAP. Las transacciones entre el cliente y el servidor son autenticadas por un secreto compartido, que no se enva por la red. Las contraseas son enviadas en forma cifrada. El servidor RADIUS soporta diferentes mtodos para autenticar un usuario. Soporta PPP, PAP, CHAP, MSCHAP, Unix login, etc.
104
RADIUS
105
35
RADIUS
UDP Debe implementar controles. Ms complejo Solo encripcin de contraseas
Autenticacin y autorizacin
Soporte multiprotocolo
Soporte multiprotocolo
No soporta algunos protocolos: AppleTalk Remote Access (ARAP) protocol NetBIOS Frame Protocol Control protocol Novell Asynchronous Services Interface (NASI) X.25 PAD connection
Administrador de Routers
Provee dos mtodos: asignar niveles de privilegios a los comandos y especificar en el perfil del usuario o del grupo de usuarios explcitamente el conjunto de comandos que puede ejecutar.
No permite asignar conjuntos de comandos habilitados o deshabilitados a los usuarios, por lo que no es til para realizar autenticacin de administradores de dispositivos
106
DIAMETER
Es un protocolo de autenticacin que tiene la capacidad de autenticar varios tipos de dispositivos sobre diferentes conexiones. Fue desarrollado para operar con IPSec.
107
108
36
El control descentralizado lo emplean los usuarios, a fin de determinar quines van a acceder a los archivos individuales y directorios que ellos mismos crearon.
109
Access Control
111
37
Access Control
113
114
38
115
IDS - Limitaciones
Entre las limitaciones y problemas ms importantes, encontramos:
Falsos positivos (Falsas alarmas). Falsos negativos (Ataques no detectados). Necesidad de actualizar constantemente su base de datos de patrones y firmas. Escasa o nula defensa ante nuevos ataques o ataques sofisticados. Dificultad de operar en entornos conmutados.
116
117
39
118
119
120
40
121
122
123
41
Tipos de IDS
Segn su arquitectura, diseo y ubicacin, podemos encontrar dos tipos de IDS a saber:
IDS de Red (NIDS) IDS de Host (HIDS)
124
125
126
42
127
128
Honey Pots
Estn formados por dispositivos individuales o redes enteras que sirven de seuelos a los intrusos.
129
43
Padded Cell
Es similar a un Honey Pot, pero posibilita aislar al intruso usando una manera distinta. Cuando un IDS detecta a un intruso, ste es automticamente transferido a la padded cell, la cual tiene un aspecto similar al de la red actual. Aqu el intruso no puede ejecutar actividades maliciosas o acceder a informacin crtica.
130
Vulnerability Assessment
Es utilizado para comprobar la existencia de vulnerabilidades conocidas en nuestro sistema. Un Vulnerability Assessment suele consistir en la ejecucin de una serie de herramientas automticas conocidas como Scanners de Vulnerabilidades, las cuales configuradas y ejecutadas del modo correcto, permiten al profesional de seguridad, testear el sistema o red objetivo en busca de vulnerabilidades, debilidades o errores comunes de configuracin.
131
132
44
133
Access Control
Amenazas - Ataques
Ataques
Entre los mtodos de ataque ms importantes, encontramos: Password Crackers (Fuerza Bruta y Diccionario) Penetration Testing Denegacin de Servicio (DoS) Spoofing
Man-in-the-Middle Sniffers
135
45
Access Control
Information Security Management Handbook, Fifth Edition By Harold F. Tipton, Micki Krause (Que) ISBN: 0849319978 CISSP: Certified Information Systems Security Profesional Study Guide, Third Edition
By James M. Stewart, Ed Tittel, Mike Chapple (Sybex) ISBN: 0782144438
137
Access Control
Preguntas?
46