--Originally published at Intervention IT
Una de las necesidades básicas de todo ingeniero en seguridad es el de tener un control y asegurarse de que solo aquellos con privilegios puedan acceder a la información, el sistema o la red bajo nuestra jurisdicción.
Los tres pasos para el proceso de control de acceso son:
- Identificación – El usuario dice su identidad, mas no hay manera de saber si es falso o verdadero (username).
- Autentificación – El usuario prueba su identidad, pero no es suficiente para acceder (password).
- Autorización – El sistema ahora debe aprobar que se tienen los privilegios para acceder (access lists).
Identificación:
Los sistemas deben tener manera de identificarse de manera única en el sistema. Estos no necesitan ser privados. Estos mecanismos solo necesitan proveer la característica de ser únicos.
Biometrics: Mecanismo para identificar y autenticar por medio de características físicas. Debido a las características del cuerpo humano, son indicadores efectivos para la seguridad, ejemplo de estos son el uso de escáner de ojo o de dedo. También reconocimiento de voz y reconocimiento de cara.
Autentificación:
Para poder probar la propia identidad se pueden usar diferentes condiciones:
-Algo que conoces: La manera más común es dar información sobre algo que conoces, en este caso las contraseñas. La manera más fácil de tener una contraseña segura es una frase contraseña.
-Algo que eres: El uso de Biometrics.
-Algo que tienes: Requiere de la poseción de algun dispositivo físico.
-Algún lugar donde estas: Depende de la posición del usuario.
-Algo que haces: Requiere realizar una acción y utilizar información para determinar la identidad. Ejemplo es la velocidad o ritmo en que se realiza la acción.
Algunas personas solo aceptan como condiciones de autentificación las tres primeras.
Identificación multifactorial:
-Debido a las desventajas de cada condición, se creó el realizar una
-Con este método se aumenta la dificultad para penetrar en el sistema por parte de gente terceros.
-Para poder ser considerado multifactorial deben no coincidir las técnicas en condiciones o no será considerado.
Protocolos de autentificación de contraseñas:
PAP – password authentication protocol. El usuario y el servidor tienen ambos la contraseña y se pasa para poder autorizar al usuario. Ahora bien, este protocolo no contiene encriptación.
CHAP – challenge handshake, usuario y servidor tienen una llave secreta. El servidor envía una palabra reto que es encriptada por el usuario con su propia llave; esta encriptación es irreversible por lo que no se puede saber la contraseña con el resultado.
Una vez procesada la palabra reto, se envía la respuesta al servidor y el servidor procesa con su contraseña el mismo reto. Si ambos resultados son iguales, entonces se sabe que el usuario tambien tiene la contraseña sin enviarla a través de la red.
El proceso de identificación y autentificación puede ser tedioso.
Se genera la administración de la identidad federativa, en estos casos el individuo puede tener diferentes cuentas a lo largo de diferentes sistemas. La información del sistema federativo comparte la información de la identidad del usuario y reduce el número de identidades que un usuario debe tener.
Otro caso es el usar SSO (single sign-on) es un sistema que comparte una sesión entre diferentes sistemas con dos características principales:
- La confianza de un SSO clasifica en: One-Way Trust (Solo si se identifica en el sistema 1 el 2 lo acepta, en caso contrario no), Two way Trust (ambos confian en identificaciones del otro)
- La transitividad significa que si dominio 1 y 2 confían entre sí y el 2 y 3 también entonces el 1 y 3 tienen una relación de confianza tambié
Autorización:
Una vez que un usuario es autentificado en un sistema, la autorización otorga o identifica los privilegios que el usuario tiene para acceder a recursos o información.
Dos principios o políticas de seguridad:
- El de menor privilegio: Un individuo debe tener solo el mínimo privilegio necesario para realizar su trabajo y sus funciones. Esto minimiza el daño de un ataque interno y limita la habilidad de un atacante externo de ganar privilegios al obtener la cuenta de un empleado.
- Separación de deberes: Realizar funciones críticas para la empresa debe requerir la interacción de almenas dos o más individuos. Reduce la capacidad de cometer fraude.
Se debe tener en cuenta la posibilidad de privilege creep que es una situación en la que un usuario gana nuevos privilegios debido al cambio de responsabilidades pero no pierde los antiguos, obteniendo un exceso de autoridad.
Los controles mandatorios de acceso (MAC) son la manera más común de control de acceso, en estos sistemas, el sistema operativo restringe los permisos dados a los usuarios y procesos de usar los recursos del sistema. Los usuarios no pueden modificar permisos, por esto es raro verlos en ambiente de alta seguridad.
Sistemas de control de acceso discrecional permite a usuarios el asignar permisos de acceso a otros usuarios.
Denegación implícita: Toda acción no permitida explícitamente debe ser negada.
Role-based access control: Permisos son agrupados juntos en roles funcionales y los usuarios son asignados a estos roles.
Time of day restrictions: Limitación de uso de recursos después de ciertas horas.
También es necesario el implementar esquemas de rotación de trabajos y administración del ciclo de vida de la cuenta.
Esquemas: Mueve regularmente a los empleados en diferentes posiciones para prevenir fraude y aumentar la variedad en el trabajo.
Vacación mandatoria: Un periodo de tiempo en el cual los empleados no tienen acceso a los sistemas.
El ciclo de vida de la administración de las cuentas es:
-Otorgamiento de privilegios a un nuevo usuario.
-Cambio de roles por cambio de trabajo.
-Revisión de permisos.
-Eliminación de privilegios cuando el usuario es terminado.
Account policies:
Group policy objects: Grupo de opciones de configuración aplicadas a diferentes unidades organizacionales.
Password policy: Usado para asegurarse que son seguras las contraseñas. Se dan condiciones para poder crear las contraseñas como no repetir dos seguidas o cambiar cada cierto tiempo.
Problemas que mantener en mente:
Permisos inadecuados: Previenen el trabajo o otorgar más privilegios.
Uso de la cuenta ilegitima: Por tercero o uso de la cuenta para otras acciones.
Evitar estos problemas:
Tener lista de los permisos, revisar con administradores, revisar aquellos que cambiaron de trabajo.
El monitoreo de las cuentas permite el manejar esto fácilmente como inusuales lugares de acceso, cambio en comportamientos como el tiempo, cantidad de accesos.
