Tecnologas de Informacin y Comunicacin I

(IN0524/75 2014/O Temuco T0!

Con"rol de #cceso
$ocen"e% &u'(n )*IN+, )*TI+&&+,
Con"rol de #cceso
+s la -a'ilidad de .ermi"ir o negar el acceso a una en"idad/
0os mecanismos .ara el con"rol de acceso .ueden ser usados .ara cuidar recursos
fsicos1 lgicos y digi"ales/
Cons"i"uyen una im.or"an"e ayuda .ara .ro"eger al sis"ema o.era"i2o de la red1 al
sis"ema de a.licacin y dem3s sof"4are de la u"ili5acin o modificaciones no
au"ori5adas6 .ara man"ener la in"egridad de la informacin (res"ringiendo la
can"idad de usuarios y .rocesos con acceso .ermi"ido! y .ara resguardar la
informacin confidencial de accesos no au"ori5ados/
IDENTIFICACION
+s la forma en 7ue una en"idad se .resen"a an"e un sis"ema/
0a forma m3s com8n de iden"ificacin es el nom're de usuario o login/
*na de las .osi'les "(cnicas .ara im.lemen"ar es"a 8nica iden"ificacin de
usuarios sera la u"ili5acin de un ser2idor de au"en"icaciones so're el cual los
usuarios se iden"ifican1 y 7ue se encarga luego de au"en"icar al usuario so're los
res"an"es e7ui.os a los 7ue (s"e .ueda acceder/
+s"e ser2idor de au"en"icaciones no de'e ser necesariamen"e un e7ui.o
inde.endien"e y .uede "ener sus funciones dis"ri'uidas "an"o geogr3fica como
lgicamen"e1 de acuerdo con los re7uerimien"os de carga de "areas/
9ara el caso de sis"emas o .rocesos los mecanismos de iden"ificacin 7ue se
.ueden u"ili5ar son% Nom're del e7ui.o1 $ireccin :#C1 $ireccin I9/
AUTENTICACION
9roceso en ;ir"ud del cual se cons"a"a 7ue una en"idad es la 7ue dice ser y 7ue "al
si"uacin es demos"ra'le an"e "erceros/
0a au"en"icacin es el .roceso de in"en"o de 2erificar la iden"idad digi"al del
remi"en"e de una comunicacin como una .e"icin .ara conec"arse/ +l remi"en"e
siendo au"en"icado .uede ser una .ersona 7ue usa un ordenador1 un ordenador .or
s mismo o un .rograma del ordenador/ +n un 4e' de confian5a1 <au"en"icacin< es
un modo de asegurar 7ue los usuarios son 7ui(n ellos dicen 7ue ellos son = 7ue el
usuario 7ue in"en"a reali5ar funciones en un sis"ema es de -ec-o el usuario 7ue "iene
la au"ori5acin .ara -acer as/
0o m3s com8n es solici"ar una con"rase>a o .ass4ord/
FACTORES DE AUTENTICACION
#lgo 7ue el usuario es (e?em.lo1 la -uella digi"al o el .a"rn re"iniano1
reconocimien"o de 2o5!1 la secuencia de #$N (-ay definiciones clasificadas de cu3l
es suficien"e!1 el .a"rn de la 2o5 (o"ra 2e5 2arias definiciones!1 el reconocimien"o
de la firma1 las se>ales 'io=el(c"ricas 8nicas .roducidas .or el cuer.o 2i2o1 u o"ro
iden"ificador 'iom("rico!/
AUTORIZACION Y PRIVILEGIOS
#u"ori5acin
+l .roceso de au"ori5acin es u"ili5ado .ara decidir si una .ersona1 .rograma o
dis.osi"i2o "iene acceso arc-i2os1 da"os1 funcionalidad o ser2icio es.ecfico/
9roceso de de"erminar 7ue "iene .ermi"ido -acer/
+s una .ar"e del sis"ema o.era"i2o 7ue .ro"ege los recursos del sis"ema .ermi"iendo 7ue
slo sean usados .or a7uellos consumidores a los 7ue se les -a concedido au"ori5acin
.ara ello/ 0os recursos incluyen arc-i2os y o"ros o'?e"os de da"o1 .rogramas1 dis.osi"i2os
y funcionalidades .ro2is"as .or a.licaciones/ +?em.los de consumidores son usuarios del
sis"ema1 .rogramas y o"ros dis.osi"i2os/
AUTORIZACION Y PRIVILEGIOS
9ri2ilegios
0os .ri2ilegios son las acciones 7ue se le .ermi"en a un usuario reali5ar/
@0eer en una 'ase de da"os o arc-i2o
@+scri'ir en una 'ase de da"os o arc-i2o
MODELOS DE CONTROL DE ACCESO
@Con"rol de acceso $iscrecional
+l con"rol de acceso discrecional se define generalmen"e en o.osicin al con"rol de
acceso manda"orio (:#C! (algunas 2eces llamado con"rol de acceso no=discrecional!/
# 2eces1 un sis"ema en su con?un"o dice "ener con"rol de
acceso discrecional o .uramen"e discrecional como una forma de indicar 7ue carece
de con"rol manda"orio/ 9or o"ro lado1 sis"emas 7ue indican im.lemen"aciones de :#C
o $#C en forma simul"3nea1 "ienen $#C como una ca"egora de con"rol de acceso
donde los usuarios .ueden .asar de uno a o"ro y :#C como una segunda ca"egora
de con"rol de acceso 7ue im.one res"ricciones a la .rimera/
MODELOS DE CONTROL DE ACCESO
+s una .ol"ica de acceso de"erminada .or el creador del recurso/
+l creador decide 7uienes y 7u( .ri2ilegios "ienen so're el recurso/
Carac"ers"icas%
A Cada recurso de'e "ener un due>o1 ".icamen"e el creador/
A 0os due>os .ueden asignar .ermisos ya sea a usuarios o gru.os .ara cada recurso
A *n usuario .uede .er"enecer a uno o m3s gru.o/
MODELOS DE CONTROL DE ACCESO
@Con"rol de acceso manda"ario
0os con"roles de acceso manda"orios (Mandatory Access Control1 :#C! son a7uellos en
los 7ue el sis"ema "iene reglas (.ol"icas! a?enas a la discrecin de los adminis"radores1
.ara definir 7ui(n .uede acceder a 7u( o'?e"os/
+s una .ol"ica de acceso de"erminada .or el sis"ema
*"ili5ado en sis"emas 7ue em.lean di2ersos ni2eles de clasificacin en"re su?e"os y
o'?e"os/
Todos los su?e"os y o'?e"os de'en "ener e"i7ue"as en la cual se de'e de iden"ificar el
ni2el de confian5a
+l su?e"o de'e "ener una e"i7ue"a con mayor o igual ni2el del confian5a 7ue el o'?e"o al
7ue dese acceder/
MODELOS DE CONTROL DE ACCESO
@Con"rol de acceso 'asado en roles
*no de los es7uemas m3s comunes es el con"rol de acceso 'asado en roles1 "am'i(n
conocido como &B#C .or sus siglas en ingl(s (&ole Based #ccess Con"rol!/
0os roles son funciones concre"as 7ue reali5a un usuario den"ro de la em.resa
# cada usuario se le asigna un rol y cada rol "iene .ermisos es.ecficos so're los
o'?e"os
ATAQUES COMUNES
SNIFFING
Ce "ra"a de dis.osi"i2os 7ue .ermi"en al a"acan"e Descuc-arE las di2ersas
comunicaciones 7ue se es"a'lecen en"re ordenadores a "ra2(s de una red (fsica o
inal3m'rica! sin necesidad de acceder fsica ni 2ir"ualmen"e a su ordenador/
9ermi"e o'"ener gran can"idad de informacin sensi'le en2iada sin cifrar/
@Nom're de *suario
@9ass4ords
@$irecciones de correo
@N8meros de "ar?e"as de cr(di"o
ATAQUES COMUNES
SNIFFER
*n sniffer es un .rograma de .ara moni"orear y anali5ar el "rafico en una red de
com.u"adoras1 de"ec"ando los cuellos de 'o"ellas y .ro'lemas 7ue eFis"an en ella/
*n sniffer .uede ser u"ili5ado .ara <ca."ar<1 lci"amen"e o no1 los da"os 7ue son
"ransmi"idos en la red/
ATAQUES COMUNES
IP SPOOFING
Ce 'asa en la generacin de .a7ue"es I9 con una direccin de origen falsa/
Ce re7uiere 7ue el e7ui.o .ro.ie"ario de la I9 7uede fuera de ser2icio/
ATAQUES COMUNES
Denegacin de Servici!
Consis"e en so're.asar los lmi"es de recursos es"a'lecidos .ara un ser2icio
de"erminado/
0os sis"emas mayormen"e a"acados son%
@Cer2idores Ge'
@&ou"ers
@Cer2idores $NC
@Ce usa .ara cu'rir o"ros a"a7ues
ATAQUES COMUNES
Ne" F#d
Tiene como o'?e"i2o degradar los enlaces de comunicacin/
Re!$%en
+n el es.acio de "ra'a?o1 "odos los e7ui.os conec"ados a un ser2idor .ueden
considerarse como un gran sis"ema mul"ifac("ico/ *s"ed es res.onsa'le de la
seguridad de es"e sis"ema m3s grande/ $e'e .ro"eger la red con"ra los desconocidos
7ue in"en"an o'"ener acceso/ Tam'i(n de'e garan"i5ar la in"egridad de los da"os en
los e7ui.os de la red/
Re!$%en
9uede con"rolar y su.er2isar el acceso al sis"ema con las siguien"es medidas%
:an"enimien"o de la seguridad fsica
:an"enimien"o del con"rol de inicio de sesin
Con"rol de acceso a dis.osi"i2os
Con"rol de acceso a recursos del e7ui.o
Con"rol de acceso a arc-i2os
Con"rol de acceso a la red
Comunicacin de .ro'lemas de seguridad
Man"eni%ien" de #a !eg$ridad &'!ica
9ara con"rolar el acceso al sis"ema1 de'e man"ener la seguridad fsica del en"orno
inform3"ico/ 9or e?em.lo1 un sis"ema cuya sesin es"3 iniciada .ero desa"endida es
2ulnera'le al acceso no au"ori5ado/
*n in"ruso .uede o'"ener acceso al sis"ema o.era"i2o y a la red/ +l en"orno y el -ard4are
del e7ui.o de'en es"ar fsicamen"e .ro"egidos con"ra el acceso no au"ori5ado/
9uede .ro"eger un sis"ema C9#&C con"ra el acceso no au"ori5ado a la configuracin de
-ard4are/ *"ilice el comando ee.rom.ara solici"ar una con"rase>a .ara acceder a la
9&O:/ 9ara o'"ener m3s informacin1 consul"e Cmo re7uerir una con"rase>a .ara el
acceso al -ard4are/ 9ara .ro"eger el -ard4are FH1 consul"e la documen"acin del
.ro2eedor/
Man"eni%ien" de# cn"r# de inici
de !e!in
Tam'i(n de'e .re2enir los inicios de sesin no au"ori5ados en un sis"ema o en la red/
9uede reali5ar es"o median"e la asignacin de con"rase>as o el con"rol de inicios de
sesin/ Todas las cuen"as de un sis"ema de'en "ener una con"rase>a/ *na con"rase>a es
un mecanismo de au"en"icacin sim.le/ Ci una cuen"a no "iene una con"rase>a1 un
in"ruso 7ue adi2ina el nom're de un usuario .uede acceder a "oda la red/ *n algori"mo
de con"rase>a com.le?o .ro"ege con"ra a"a7ues .or fuer5a 'ru"a/
Man"eni%ien" de# cn"r# de inici
de !e!in
Cuando un usuario inicia sesin en un sis"ema1 el comando login 2erifica 7ue el ser2icio
de nom'res o la 'ase de da"os de ser2icio de direc"orios sean a.ro.iados seg8n la
informacin en el ser2icio de cam'io de nom'res1 s2c%/sys"em/name=ser2ice/s4i"c-/
0as siguien"es 'ases de da"os .ueden afec"ar el inicio de sesin%
files: designa los archivos /etc en el sistema local
ldap: designa el servicio de directorios LDAP en el servidor LDAP
nis: designa la base de datos NIS en el servidor maestro NIS
dns: designa el servicio de nombre de dominio en la red
Man"eni%ien" de# cn"r# de inici
de !e!in
9ara o'"ener una descri.cin del ser2icio de nom'res1 consul"e la .3gina del comando
man nscd(1:!/ 9ara o'"ener informacin acerca de los ser2icios de nom'res y los
ser2icios de direc"orios1 consul"e Oracle Colaris #dminis"ra"ion% Naming and $irec"ory
Cer2ices/
+l comando login 2erifica el nom're de usuario y la con"rase>a .ro.orcionados .or el
usuario/ Ci el nom're de usuario no es"3 en la 'ase de da"os de con"rase>as1 el comando
login niega el acceso al sis"ema/ Ci la con"rase>a no es correc"a .ara el nom're de usuario
es.ecificado1 el comando login niega el acceso al sis"ema/ Cuando el usuario .ro.orciona
un nom're de usuario 23lido y la con"rase>a corres.ondien"e1 se le o"orga acceso al
sis"ema/
Man"eni%ien" de# cn"r# de inici
de !e!in
0os mdulos 9#: .ueden o."imi5ar el inicio de sesin a las a.licaciones des.u(s de
iniciar sesin correc"amen"e en el sis"ema/ 9ara o'"ener m3s informacin1 consul"e el
Ca."ulo 151 *so de 9#:/
Man"eni%ien" de# cn"r# de inici
de !e!in
To 'e con"inuedI