05-accesscontrolv3
TRANSCRIPT
1
CISSP Security Training – Access Control Systems and Methodology
Access Control
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
2
Agenda
� Aspectos generales� Tipos de control de acceso
� Implementación de control de acceso� Identificación, autenticación, autorización y auditoría
� Técnicas de identificación y autenticación� Passwords� Sistemas Biométricos
� Tokens / Tickets / Single Sign On
� Kerberos
� Modelos de control de acceso� Administración de control de acceso
� Monitoreo, Auditoría y Logs� Sistemas de Detección de Intrusos (IDS)
� Métodos de ataque� Referencias y Lecturas Complementarias
� Preguntas
Access Control
Aspectos Generales
2
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
4
Aspectos Generales
� La transferencia de información desde un objeto a un
sujeto es llamada acceso.
� Los sujetos son entidades activas, que pueden estar
representados por: �Usuarios
�Programas
�Procesos�Computadoras, etc.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
5
� Los objetos son entidades pasivas, que pueden estar
representados por: �Archivos
�Bases de datos
�Programas
�Procesos� Impresoras
�Medios de almacenamientos, etc.
Aspectos Generales (Cont.)
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
6
Aspectos Generales (Cont.)
� El sujeto es siempre la entidad que recibe información
acerca del objeto, o datos que provienen de éste.
� El sujeto es también la entidad que altera o modifica la
información del objeto, o bien, los datos almacenados dentro de él.
3
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
7
CIA Triad
� El Control de Acceso se implementa para asegurar:
�Confidencialidad
� Integridad
�Disponibilidad
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
8
Confidencialidad
� Es la necesidad de que la información sólo sea
conocida por personas autorizadas.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
9
Integridad
� Es la característica que hace que el contenido de la
información permanezca inalterado, a menos que sea
modificado por personal autorizado
4
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
10
Disponibilidad
� Es la capacidad que permite que la información se
encuentre siempre disponible, para que pueda ser
procesada por el personal autorizado.
Access Control
Tipos de Control de Acceso
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
12
Tipos de Control de Acceso
� Los controles de acceso pueden ser divididos en tres
tipos principales:
�Control de Acceso Preventivo
�Control de Acceso Detectivo
�Control de Acceso Correctivo
� También pueden encontrarse los siguientes:
�Control de Acceso de Disuasión
�Control de Acceso de Recuperación
�Control de Acceso de Compensación
5
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
13
Control de Acceso Preventivo
� Es implementado para detener una actividad no
autorizada, antes que la misma ocurra.
� Algunos ejemplos son:
�Políticas de seguridad
�Capacitación en materia de seguridad
�Aplicaciones antivirus
�Firewall
�Encripción, etc.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
14
Control de Acceso Detectivo
� Es implementado para descubrir una actividad no
autorizada.
� Algunos ejemplos son:
�Guardias de seguridad
� Investigación de incidentes
�Sistemas de detección, etc.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
15
Control de Acceso Correctivo
� Es implementado para restaurar un sistema a su
funcionamiento normal, luego de que una actividad no
autorizada ha ocurrido.
� Algunos ejemplos son:
�Políticas de seguridad
�Manuales
�Plan de Contingencia, etc.
6
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
16
Control de Acceso de Disuasión
� Son controles usados para desalentar violaciones de
seguridad.
� Algunos ejemplos son:
�Cerraduras
�Rejas
�Guardias de seguridad
�Circuito cerrado de TV
�Separación de funciones, etc.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
17
Control de Acceso de Recuperación
� Son controles usados para restaurar recursos y
capacidades.
� Algunos ejemplos son:
�Copias de seguridad
�Software antivirus, etc.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
18
Control de Acceso de Compensación
� Es implementado para brindar alternativas a otros
tipos de control.
� Algunos ejemplos son:
�Monitoreo y supervisión
�Procedimientos de personal, etc.
7
CISSP Security Training – Access Control Systems and Methodology
Access Control
Implementación del Control de Acceso
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
20
Implementación de Control de Acceso
� La implementación de un Control de Acceso puede
ser categorizada en:
� Control de Acceso Administrativo
� Control de Acceso Lógico / Técnico
� Control de Acceso Físico
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
21
Control de Acceso Administrativo
� Comprenden las normas y procedimientos definidos
en la Política de Seguridad de la Organización, a fin
de implementar y hacer cumplir las medidas de control
de acceso.
� Algunos ejemplos son:
�Políticas
�Procedimientos
�Revisiones
�Clasificación de los datos
�Capacitación en seguridad, etc.
8
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
22
Control de Acceso Lógico/Técnico
� Comprenden los mecanismos de hardware o software
usados para gestionar el acceso a recursos y
sistemas de manera de brindar protección a los
mismos.
� Algunos ejemplos son:
�Passwords
�Encripción
�Smart Cards
�Sistemas biométricos
�ACLs, etc.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
23
Control de Acceso Físico
� Comprenden la distribución de barreras físicas a fin de
prevenir el contacto directo con los sistemas.
� Algunos ejemplos son:
�Detectores de movimientos
�Sensores
� Luces
�Cerraduras
�Perros
�Cámaras, etc.
Access Control
Identificación, Autenticación,
Autorización y Accounting
9
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
25
Pasos para Acceder a un Objeto
� El control de acceso gobierna el acceso de sujetos a
objetos.
� Existen varios pasos para poder acceder a un objeto:
� Identificación
�Autenticación
�Autorización
�Auditoría / Responsabilidad (Accouting)
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
26
Identificación
� Es el proceso por el cual un sujeto proporciona una
identidad y una cuenta es iniciada.
� Un usuario puede utilizar como identidad:
�Username
� Logon ID
�PIN, etc.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
27
Autenticación
� Es el proceso de verificar que una identidad
proporcionada es válida.
� La autenticación requiere que el sujeto proporcione
información adicional que debe corresponder exactamente con la identidad indicada.
� El método más común, es el empleo de Passwords.
10
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
28
� Los tipos de información más comunes que pueden ser
empleados son:
Tipo 1: Un factor de autenticación por Tipo 1 es “Algo que
usted conozca”, como ser: una password, un PIN, etc.
Tipo 2: Un factor de autenticación por Tipo 2 es “Algo que
usted tiene”, como ser: una smart card, un token, etc.
Tipo 3: Un factor de autenticación por Tipo 3 es “Algo que
usted es”, como ser: Una huella digital, análisis de voz,
escáner de retina o iris, etc.
Autenticación (Cont.)
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
29
Autenticación (Cont.)
� En adición a estos, existen otras como ser:
� “Algo que usted hace”, tanto como: firmar un
documento, escribir una frase (Teclados dinámicos),
etc. normalmente incluido dentro del Tipo 3,
� “Donde usted se encuentra”, tanto como: una PC
específica, una línea telefónica determinada, etc.
normalmente incluido dentro del Tipo 2.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
30
Autorización
� Puede ser definido como una política que es usada para permitir o denegar el acceso a un recurso.
� Esto puede ser un componente avanzado como una tarjeta inteligente, un dispositivo biométrico o un dispositivo de acceso a la red como un router, accesspoint wireless o access server.
� También puede ser: un servidor de archivos o recursos que asigne determinados permisos como los sistemas operativos de red (Windows 2000, Novell, etc).
11
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
31
� El hecho de que un sujeto haya sido identificado y autenticado, no significa que haya sido autorizado.
� Como ejemplo podemos citar que “Un usuario puede estar habilitado para imprimir un documento, pero no para alterar la cola de impresión”.
Autorización (Cont.)
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
32
Auditoría (Accounting)
� Es el proceso de registrar eventos, errores, accesos e
intentos de autenticaciones en un sistema.
� Existen varias razones para que un administrador
habilite esta funcionalidad:
� Detección de intrusiones
� Reconstrucción de eventos y condiciones del sistema
� Obtener evidencias para acciones legales
� Producir reportes de problemas, etc.
� El conjunto de acciones a ser auditadas pueden ser:
� Eventos de Sistema
� Eventos de Aplicaciones
� Eventos de Usuarios
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
33
Eventos de Sistema
� Monitoreo de performance
� Intentos de logon (exitosos y fracasados)
� Logon ID
� Fecha y hora de cada intento de logon
� Bloqueos de cuentas de usuario
� Uso de herramientas administrativas
� Uso de derechos y funciones
� Modificación de archivos de configuración
� Modificación o eliminación de archivos críticos, etc.
12
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
34
Eventos de Aplicaciones
� Mensajes de error
� Apertura y cierre de archivos
� Modificación de archivos
� Violaciones de seguridad en la aplicación, etc.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
35
Eventos de Usuarios
� Identificación e intentos de autenticación
� Archivos, servicios y recursos utilizados
� Comandos ejecutados
� Violaciones de seguridad
Access Control
Técnicas de Identificación y
Autenticación
13
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
37
Técnicas de Identificación y Autenticación
� Entre las principales técnicas de mayor utilización en
la actualidad, encontramos:
�Passwords
�Sistemas Biométricos
�Tokens
�Tickets
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
38
Passwords
� Es la técnica de autenticación más usada, pero
también es considerada la más débil.
� Las fallas habituales de seguridad se deben a:
� Los usuarios elijen frecuentemente passwords que son fáciles de recordar y, en consecuencia, fáciles de
romper.
� Las passwords aleatorias son difíciles de recordar.
� Las passwords son fáciles de compartir, olvidar y
escribir.
�Pueden ser robadas fácilmente, por observación,
grabación, etc.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
39
Passwords (Cont.)
�Algunas passwords se transmiten en texto claro o
protegidas por técnicas fáciles de romper.
�Passwords cortas pueden ser descubiertas rápidamente
por ataques de fuerza bruta, etc.
14
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
40
Tipos de Password
� Existen dos tipos de passwords:
�Estáticas
�Dinámicas
� Las passwords “Estáticas” siempre permanecen iguales y solo cambian cuando expira su tiempo de
vida.
� Las passwords “Dinámicas” cambian después de un
período de tiempo de uso. Las One-Time Passwordsson una variante de esta categoría.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
41
One Time Password
� Esta técnica utiliza passwords que sólo tienen validez
para un usuario específico durante una determinada
sesión.
� Un ejemplo característico lo constituye el sistema S/Key.
� El sistema utiliza algoritmos de hashing de una vía
con el fin de crear un esquema de contraseñas de
única vez .
� Aquí las contraseñas son enviadas a través de la red,
pero luego que la password fue utilizada, caduca y no
es válida para ser utilizada nuevamente.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
42
One Time Password (Cont.)
� Este sistema tiene tres componentes fundamentales:
�Cliente: Pide el login del usuario. No realiza
almacenamiento de contraseñas.
�Host: Procesa la contraseña, almacena la contraseña
de única vez y también le provee al cliente el valor
inicial para calcular el hash.
�Calculador de Claves: Es la función de hash para la contraseña de única vez.
15
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
43
Passphrase y Password Cognoscitivo
� Algo más efectivo que una simple “password” es una
“passphrase”, al ser ésta una cadena de caracteres
más larga que una simple palabra.
� Otro interesante mecanismo es conocido como
“password cognoscitivo”, el cual comprende una
serie de preguntas acerca de hechos cuyas
respuestas sólo pueden ser conocidas por un sujeto determinado.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
44
Ataques a Passwords
� Cuando un atacante busca obtener las passwords,
puede utilizar diferentes métodos, como ser:�Análisis de tráfico de red
�Acceso al archivo de passwords
�Ataques por fuerza bruta
�Ataques por diccionario� Ingeniería social, etc.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
45
Políticas de Definición de Passwords
� Muchas organizaciones poseen Políticas de Definición
de Passwords, las cuales comprenden una serie de
restricciones, como ser:
� Longitud mínima
�Duración mínima y máxima
�No reutilizar el username o parte del mismo
�Guardar histórico de passwords
�Utilizar mayúsculas, minúsculas, números, caracteres
especiales
�Prevenir reuso, etc
16
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
46
Sistemas Biométricos
� Los sistemas biométricos se basan en características
físicas del usuario a identificar o en patrones de
conducta.
� El proceso general de autenticación sigue unos pasos comunes a todos los modelos de autenticación
biométrica:
�Extracción de ciertas características de la muestra (por
ejemplo, el detalle de una huella dactilar).
�Comparación de tales características con las
almacenadas en una base de datos.
�Finalmente la decisión de si el usuario es válido o no.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
47
Sistemas Biométricos (Cont.)
� La mayoría de los dispositivos biométricos tienen un ajuste de sensibilidad para que puedan ser configurados de manera que operen en forma más sensible o menos sensible.
� Cuando un dispositivo es demasiado sensible, ocurre un error Tipo 1, es decir, un sujeto válido no es autenticado; esto se conoce como Tasa de Falsos Rechazos (FRR).
� Cuando un dispositivo no es lo suficientemente sensible, ocurre un error Tipo 2, es decir, un sujeto inválido es autenticado; esto se conoce como Tasa de Falsas Aceptaciones (FAR).
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
48
Sistemas Biométricos (Cont.)
� El punto en el cual FRR=FAR es conocido como
Crossover Error Rate (CER).
� El nivel CER es usado como un estándar para evaluar
la performance de los dispositivos biométricos.
17
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
49
Sistemas Biométricos (Cont.)
� Entre los tipos de sistemas biométricos más utilizados,
encontramos:
�Huellas digitales
�Reconocimiento de retina
�Reconocimiento de iris
�Reconocimiento facial
�Geometría de la mano
�Reconocimiento de la palma
�Verificación de voz
�Dinámica de la firma a mano alzada
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
50
Sistemas Biométricos (Cont.)
� Además de los costos hay tres puntos críticos a
determinar a la hora de elegir un sistema biométrico
como método de control de acceso:
�Aceptación del usuario
�Tiempo de enrollment y throughput
�Precisión
Adicionalmente también son importantes:
�Facilidad de implementación
�Tamaño y manejo de las muestras
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
51
Aceptación del usuario
� Los más aceptados por usuarios, por orden, son:
� Iris Scan
�Keystroke Dynamics
�Signature Dynamics
�Voice Verification
�Facial Recognition
�Fingerprint
�Palm Scan
�Hand Geometry
�Retina Scan
18
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
52
Enrollment
� Es el proceso en el cual se toma la muestra del
atributo físico del individuo, la cual será almacenada
en una base de datos sobre la cual se verificará
posteriormente su identidad.
� Muchas veces se necesita tomar repetidas muestras
del atributo hasta que se logra finalmente.
� Esto puede hacer que los tiempos de enrollment sean
altos y el sistema tenga baja aceptación.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
53
Throughput
� Comprende el proceso propiamente dicho de
identificación o autenticación de una persona.
� Es cuando la persona somete su característica física
al dispositivo biométrico, quien lo compara con la almacenada en la base de datos.
� Al igual que el proceso de enrollment, puede
necesitarse repetir la operación de reconocimiento
más de una vez, con lo cual los tiempos de respuesta serán altos, perdiendo funcionalidad.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
54
Precisión
� Los más efectivos, por orden, son:
�Palm Scan
�Hand Geometry
� Iris Scan
�Retina Scan
�Fingerprint
�Voice Verification
�Facial Recognition
�Signature Dynamics
�Keystroke Dynamics
19
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
55
Ventajas de los Sistemas Biométricos
� Entre las ventajas más significativas, encontramos:
�No pueden ser prestados, como una llave o token y no
se pueden olvidar como una contraseña.
�Buena relación entre facilidad de uso, tamaño de los
templates, costo y precisión.
�Permiten la identificación única de un individuo, aún en
casos de bases de datos de gran tamaño.
�Duran para siempre...
� Logran que los procesos de login y autenticación no
requieran esfuerzo alguno.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
56
Desventajas de los Sistemas Biométricos
� Entre las desventajas más importantes, encontramos:
�Todavía siguen siendo particularmente caros.
�Aún existe cierto rechazo o desconfianza por parte de
los usuarios.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
57
Sistemas Biométricos y Privacidad
� Seguimiento y Vigilancia: Permiten seguir y vigilar
los movimientos de una persona.
� Anonimicidad: Si la identificación está asociada a
una base de datos, se pierde el anonimato al acceder
a servicios a través de sistemas biométricos.
� Profiling:La recopilación de datos acerca de
transacciones realizadas por un individuo en
particular, permite definir un perfil de las preferencias,
afiliaciones y creencias de ese individuo.
20
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
58
Tokens
� Son dispositivos generadores de password que un
sujeto lleva con él.
� Los dispositivos tokens pertenecen a la clase “Algo que usted tiene” (Tipo 2)
� Existen cuatro tipos de tokens:
�Tokens estáticos
�Tokens sincrónicos basados en tiempo
�Tokens sincrónicos basados en eventos
�Tokens asincrónicos basados en desafío/respuesta
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
59
Tokens Estáticos
� Estos tokens requieren de un factor adicional para
brindar autenticación, como ser una password o una
característica biométrica.
� La mayoría de estos dispositivos almacenan una clave
criptográfica como ser, una clave privada,
credenciales de logon encriptadas, etc.
� Son utilizados principalmente como técnica de
identificación en lugar de autenticación.
� Algunos ejemplos son: �Smart card�Floppy disk
�USB device, etc
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
60
Tokens Sincrónicos Basados en Tiempo
� Las tarjetas y el servidor tienen relojes que miden el
tiempo transcurrido desde la inicialización.
� Cada cierto tiempo el número resultante se encripta y
se muestra en la pantalla de la tarjeta; el usuario
ingresa su PIN en el servidor junto con el número que
se visualiza en su tarjeta.
� Como el servidor conoce el momento de inicialización
de la tarjeta también puede calcular el tiempo
transcurrido, dicho valor encriptado deberá coincidir
con el introducido por el usuario para que éste sea
aceptado.
21
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
61
Tokens Sincrónicos Basados en Eventos
� Las passwords se generan debido a la ocurrencia de
un evento, por ejemplo se requiere que el sujeto
presione una tecla en la tarjeta.
� Esto causa que la tarjeta y el servidor avancen al
próximo valor de autenticación.
� El usuario debe ingresar su PIN en la tarjeta.
� A partir del conjunto formado por el PIN y el nuevo
valor de autenticación, se genera una nueva password
aplicando una función criptográfica (Ej: DES, Hash,
etc.) a dicho conjunto, la que será enviada al servidor
para su verificación.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
62
Tokens Asincrónicos Basados en Desafío/Respuesta
� El servidor de token genera una cadena de dígitos
aleatoria (desafío) y la envía al cliente remoto que
intenta acceder a la red.
� El usuario remoto ingresa esa cadena de dígitos más
su PIN en la token card, la cual le aplica una función
criptográfica (Ej: DES) con una llave almacenada,
generando la contraseña (respuesta).
� El resultado de esa función es enviado nuevamente al
servidor de token, quien realiza la misma operación.
� Si el resultado es igual, el usuario es autenticado.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
63
Tickets
� Este mecanismo emplea una tercera entidad, aparte
del cliente y el servidor, la cual brinda el servicio de
autenticación.
� Es importante aquí citar el concepto de Single SignOn (SSO).
22
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
64
Single Sign On (SSO)
� Este mecanismo le permite a un sujeto ser autenticado sólo una vez, luego el mismo puede acceder a los recursos y servicios del sistema libremente, sin ser autenticado nuevamente.
� Algunos ejemplos son:
�Scripts
�SESAME
�KryptoKnight
�Clientes “Delgados”
�Servicios de directorio
�Kerberos
� etc.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
65
Scripts
� Consiste en la forma más sencilla de implementar un
sistema single sign-on.
� Cuando un usuario solicita acceso a un recurso, se
corre un script en background que ejecuta los mismos comandos y tareas que dicho usuario debería ingresar
para autenticarse debidamente frente a este recurso.
� Requiere cambios cada vez que un usuario modifica
su ID o password.
� Debido a que este tipo de scripts contienen
credenciales de usuario, deben ser almacenados en
un área protegida.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
66
SESAME
� SESAME (Secure European System for Applications
in a Multi-vendor Environment) es un proyecto que fue
desarrollado para extender la funcionalidad de
Kerberos y mejorar sus debilidades.
� Mientras que Kerberos sólo emplea algoritmos de
encripción Simétricos, SESAME utiliza algoritmos de
encripción Simétricos y Asimétricos para proteger el
intercambio de datos.
� Mientras que Kerberos emplea Tickets para la
autenticación de sujetos, SESAME utiliza “Certificados
de Atributos de Privilegio” (PACs).
23
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
67
SESAME (Cont.)
� Estos PACs contienen:
� Identidad del sujeto
� Capacidades de acceso para cada objeto
� Período de tiempo de acceso
� Tiempo de vida del PAC
� Cada PAC está firmado digitalmente.
� En este esquema, la tercera parte de confianza se
denomina “Servidor de Atributos de Privilegio” (PAS), el cual tiene un rol similar al KDC en el esquema
Kerberos.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
68
SESAME (Cont.)
� El proceso de autenticación es el siguiente:
�El usuario envía sus credenciales al Servidor de
Autenticación (AS).
�El AS envía un token al cliente para que éste pueda
comunicarse con el PAS.
�Cuando el usuario requiere acceso a un recurso, envía
el token al PAS.
�El PAS crea y envía un PAC al usuario.
�El usuario utiliza el PAC para autenticarse frente al
recurso que pretende acceder.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
69
KryptoKnight
� Relación “peer to peer”.
� Soporta:
�Administración
�Autenticación
�Distribución de llaves
�Confidencialidad
� Integridad
24
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
70
Clientes “Delgado”
� Son equipos que no pueden almacenar información
(Diskless computers o terminales bobas).
� Esta tecnología fuerza al usuario a realizar un logon
en la red para habilitar el uso del computador.
� Esta terminal sólo puede ejecutar una lista muy
reducida de instrucciones, las cuales permiten la
conexión con un servidor de autenticación.
� Si el proceso de autenticación es correcto, el server
descarga en la terminal el sistema operativo, el perfil y
la capacidad funcional para utilizar en la sesión.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
71
Servicios de Directorio
� Permite identificar recursos en una red (Impresoras, Servidores de archivo, Controladores de dominio, etc.), brindando un mecanismo para que los mismos se encuentren disponibles a usuarios y programas.
� Se compone de una base de datos jerárquica que contiene las características de los recursos, como ser:
� Nombre
� Ubicación lógica y física
� Sujetos que pueden acceder
� Operaciones que pueden ser realizadas, etc.
� Algunos ejemplos son: LDAP, NDS y Microsoft Active Directory.
Access Control
Kerberos
25
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
73
Kerberos
� Fue creado por el Instituto de Tecnología de
Massachusetts (MIT) a comienzos de los años 80.
� La versión actual de Kerberos es la 5, la misma está
publicada por el IETF.
� Es el protocolo de autenticación por defecto en una
implementación Windows 2000/2003 homogénea.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
74
� También puede brindar servicios de privacidad e
integridad.
� Kerberos utiliza la encripción para proporcionar cada
servicio.
� Todas las implementaciones de la versión 5 deben
soportar DES-CBC-MD5, aunque se permiten otros
algoritmos.
Kerberos (Cont.)
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
75
Terminología Kerberos
� Secreto Compartido: La técnica de autenticación se
basa en secretos compartidos. Si un secreto es
conocido sólo por dos entidades, cualquiera de ellas
puede verificar la identidad de la otra confirmando que
su par conoce dicho secreto.
� Autenticador: Consiste en una serie de datos
encriptados por medio del secreto compartido. Esta información debe ser distinta cada vez que se ejecute
el protocolo. Consiste en una marca temporal extraída
del clock de la estación de trabajo del cliente.
26
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
76
Terminología Kerberos (Cont.)
� KDC: Resulta necesario encontrar una manera de que ambas entidades conozcan el secreto compartido cuando inician una transacción. Kerberos utiliza un "intermediario de confianza" para esta actividad conocido como "Centro de Distribución de Claves" (KDC). El KDC es un servicio que se ejecuta en un server seguro físicamente.
� Clave de Sesión: Cuando un cliente solicita al KDC el acceso a un servidor, éste genera en forma aleatoria una clave denominada "Clave de Sesión" que seráutilizada por el cliente y el servidor para encriptar el diálogo que mantendrán.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
77
Terminología Kerberos (Cont.)
� TGT: Cuando un cliente inicia una sesión, solicita al
KDC un boleto especial que le permita solicitar
posteriormente otros boletos (boletos de servicio), los
cuales posibilitarán el acceso a distintos servidores.
Este boleto especial recibe el nombre de "Boleto de
Concesión de Boletos" (Ticket Granting Ticket).
� Boleto de Servicio: Es aquel que solicita el cliente al KDC para poder acceder a un servicio que reside en
un servidor que implementa Kerberos como protocolo
de autenticación. También se lo conoce como "Ticket
Granting Service".
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
78
Nomenclatura Kerberos
� Kx: Es la clave secreta (Resumen producido por una función Hash de la contraseña) de x, donde x es un cliente (c), una aplicación de servidor (s) o el KDC (k).
� {datos}Kx: Cualquier dato encriptado con la clave secreta de x.
� {T}Ks: Boleto encriptado con la clave secreta del servidor s (Tener en cuenta que no todo el boleto se encripta).
� Kx,y: Clave de sesión utilizada por las instancias x , y.
� {datos}Kx,y: Cualquier dato encriptado con la clave de sesión compartida entre x , y.
27
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
79
Kerberos en un Ejemplo
� Cuando un usuario inicia la sesión, la parte cliente del protocolo envía un mensaje al KDC solicitando un TGT.
� El mensaje contiene información de autenticación que consiste en un marca temporal, encriptada mediante el resumen de la función de hash de la contraseña del usuario. {marca_temporal}Kc.
� El KDC busca el registro asociado al usuario, donde encontrará el resumen de su clave, y procede a desencriptar el mensaje.
� Si este proceso es exitoso y la marca temporal es
reciente, el usuario es autenticado.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
80
Kerberos en un Ejemplo (Cont.)
� El KDC genera en forma aleatoria una clave de sesión que compartirá con el usuario, Kc,k.
� El KDC envía al usuario un TGT encriptado con su clave privada {TGT}Kk. Este ticket contiene entre otros el tiempo de validez del boleto, algunas banderas, datos de autorización del cliente y la clave de sesión entre ambos, Kc,k .
� Esta clave se envía en forma separada al usuario, encriptada con la clave de éste. {Kc,k}Kc.
� El usuario desencripta la clave de sesión, almacena el TGT y está listo para solicitar boletos de servicio cuando haga falta.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
81
Kerberos en un Ejemplo (Cont.)
� Cuando el usuario necesita acceder a un servidor que ejecuta Kerberos, solicita un boleto de servicio al KDC para este servidor.
� Esta petición contiene, entre otras cosas, el TGT del usuario, el nombre del servidor que se pretende acceder y una marca temporal encriptada usando la clave de sesión entre el KDC y el usuario {marca_temporal}Kc,k.
� Cuando el KDC recibe la petición desencripta el TGT, luego extrae la clave de sesión necesaria para desencriptar el autenticador.
� Si dicho proceso es exitoso y la marca temporal es reciente, se verifica la identidad del usuario.
28
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
82
Kerberos en un Ejemplo (Cont.)
� El KDC prepara el boleto de servicio copiando algunos
campos contenidos en el TGT, agrega una clave de
sesión para el cliente y el servidor, Kc,s generada
aleatoriamente, establece el tiempo de vida y encripta
dicho boleto usando la clave del servidor {T}Ks
� Posteriormente el KDC envía el boleto al cliente y una
copia de la clave de sesión recién generada,
encriptada con la clave que comparte con el cliente
{Kc,s}Kc,k
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
83
Kerberos en un Ejemplo (Cont.)
� Cuando recibe los mensajes, el cliente desencripta y
obtiene la clave de sesión que usará con el servidor
Kc,s y envía el boleto de servicio a dicho server {T}Ks,
junto con un autenticador encriptado con esta nueva
clave de sesión {marca_temporal}Kc,s.
� El servidor desencripta el boleto, obtiene la clave de
sesión Kc,s y desencripta el autenticador. Si este
proceso fue exitoso y la marca temporal es reciente,
se autentica al usuario como válido.
� Posteriormente los datos de autorización contenidos
en el boleto determinarán si este usuario puede
acceder a los servicios que desea.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
84
Kerberos en un Ejemplo (Cont.)
29
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
85
Formato de un Ticket
� Existen tres campos que no están encriptados, el
resto se encripta para protección usando la clave del
servidor donde el ticket será presentado.
� Campos no encriptados:
� tkt-vno: Versión del formato del ticket. Aquí la 5.
�Realm: Nombre del reino (dominio) donde el ticket fue emitido.
�Sname: Nombre del servidor
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
86
Formato de un Ticket (Cont.)
� Campos encriptados:
�Flags: Se usan banderas para indicar diferentes
condiciones del ticket.
�Key: Clave de sesión compartida entre el cliente y el
servidor.
�Crealm: Nombre del reino (dominio) del cliente.
�Cname: Nombre del cliente.
�Authtime: Marca temporal que el KDC especifica cuando emite un TGT.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
87
Formato de un Ticket (Cont.)
�Startime: Tiempo a partir del cual el ticket es válido.
�Endtime: Tiempo en que el ticket expira.
�Renew-till: (Opcional) Máximo endtime que puede tener un ticket con la bandera RENEWABLE activada.
�Caddr: (Opcional) Una o más direcciones desde las cuales el ticket puede ser utilizado. Si se omite, el ticket puede usarse desde cualquier dirección.
�Authorization-data: Privilegios del usuario. Kerberos no interpreta este campo, su comprensión corre por cuenta del servicio donde el ticket se presentará.
30
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
88
Debilidades de Kerberos
� El KDC es un simple punto de falla.
� El KDC debe estar siempre disponible para manejar las solicitudes de los usuarios.
� Las claves secretas y las claves de sesión son almacenadas temporalmente en las estaciones de trabajo de los usuarios.
� Kerberos puede ser vulnerable a ataques a las passwords.
� El tráfico de red no es protegido por Kerberos si no se habilita la funcionalidad de encripción.
� Si un usuario cambia su password, la base de datos del KDC debe ser actualizada.
Access Control
Modelos de Control de Acceso
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
90
Modelos de Control de Acceso
� Una vez que el sujeto haya sido autenticado y su
registro de actividad iniciado, debe ser autorizado
para poder acceder a los recursos disponibles o
ejecutar acciones.
� Existen tres modelos principales de Control de
Acceso, a saber:
� Control de Acceso Discrecional
� Control de Acceso Mandatario
� Control de Acceso no Discrecional o basado en Roles
31
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
91
Control de Acceso Discrecional
� Le permite al propietario o creador de un objeto,
definir y controlar qué sujetos pueden acceder al
mismo.
� Se implementan frecuentemente mediante listas de
control de acceso (ACL).
� Es el mas implementado en ambientas comerciales.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
92
Control de Acceso Mandatario
� Se implementa mediante el uso de etiquetas. � Los usuarios son etiquetados por nivel de importancia;
los objetos son etiquetados por su nivel de seguridad o clasificación.
� Es muy común su empleo en entornos militares donde las etiquetas más comunes son: � “Top Secret”� “Secret”� “Confidential”� “Sensitive but Unclassified (SBU)”� “Unclassified”
� En esta técnica, un sujeto está habilitado a acceder a objetos que tengan el mismo nivel de clasificación o etiqueta, o menor.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
93
Control de Acceso no Discrecional (Roles)
� Define la habilidad que tiene un sujeto de acceder a
objetos conforme al rol o tarea que desempeña en la
organización.
� Son utilizados en entornos con cambios frecuentes de
personas, por esta causa el acceso se basa en una
descripción del puesto que ocupa en vez de la
identidad del sujeto.
32
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
94
Control de Acceso no Discrecional (Roles) (Cont.)
� Los accesos basados en roles y los basados en grupos suelen confundirse.
� Mientras que ambos actúan como “contenedores” que
almacenan usuarios en unidades de gestión, en los
“grupos” un usuario puede pertenecer a uno o más
de estos grupos, con permisos diferentes en cada uno
de ellos, incluso puede poseer permisos individuales.
En cambio en el esquema de “roles” un usuario
puede tener un único rol.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
95
Otros Modelos de Control de Acceso
� El Control de Acceso basado en “Enrejados”(Lattice) es una variación del control no discrecional,
en el cual se definen límites superiores e inferiores
para cada relación existente entre un sujeto y un
objeto.
� El Control de Acceso basado en Reglas es una
variación del control mandatario, en el cual se usa un
conjunto de reglas, filtros y restricciones para
determinar lo que puede o no ocurrir en un sistema.
� Los firewalls, proxies y routers son ejemplos de este
tipo de control de acceso.
Access Control
Administración de Control de Acceso
33
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
97
Administración de Control de Acceso
� Existen tres tipos principales de administración de
control de acceso:
� Control de Acceso Centralizado
� Control de Acceso Descentralizado
� Control de Acceso Híbrido
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
98
Control de Acceso Centralizado
� Implica que toda verificación de autorización es
ejecutada por una simple entidad dentro de un
sistema.
� Este método le permite a un dispositivo, o a un único
individuo, gestionar el control de acceso.
� La carga administrativa es baja pues todo es realizado
desde un sólo lugar, sin embargo representa también
un único punto de falla.
� Ejemplos de esta metodología lo constituyen:� TACACS+� RADIUS.
� DIAMETER
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
99
TACACS+
� TACACS+ (Terminal Access Controller Access Control System Plus) es una versión mejorada del TACACS original.
� TACACS+ es un protocolo de Autenticación, Autorización, y Auditoría (AAA) que reside en un servidor centralizado.
� Existen al menos tres versiones de TACACS:
� TACACS
� XTACACS
� TACACS+
34
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
100
TACACS+ (Cont.)
� Es una versión en constante mejora de TACACS que
permite al servidor TACACS+ brindar servicios de
AAA de manera independiente.
� Cada servicio puede ser usado con su propia base de datos o puede ser usado en conjunto con los demás
servicios.
� No es compatible con las otras versiones antecesoras.
� Se encuentra como una propuesta en la IETF, pero no
es un estándar.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
101
TACACS+ (Cont.)
� Permite encriptar toda la información que se
intercambia entre el cliente y el servidor.
� TACACS y sus diferentes versiones utilizan TCP
como protocolo de transporte y tienen reservado el número de puerto 49 para la conexión.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
102
RADIUS
� RADIUS (Remote Authentication Dial-In User Service)
es otra alternativa para realizar AAA.
� Consiste en un sistema de seguridad distribuida que
asegura el acceso remoto a redes y las protege de accesos no autorizados.
� Según la definición del protocolo, RADIUS tiene
reservados los números de puerto 1812 (para
autenticación) y 1813 (para auditoría), pero existen muchas implementaciones que utilizan los puertos
1645 y 1646 respectivamente.
35
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
103
RADIUS (Cont.)
� El servidor es ejecutado en una computadora,
generalmente dentro del sitio propietario de la red,
mientras que el cliente reside en el NAS y puede estar
distribuido en toda la red.
� El NAS (Servidor de Acceso a la Red) opera como el cliente, reenviando la información de autenticación de los usuarios al servidor RADIUS configurado, actuando de acuerdo a la respuesta del servidor.
� Los servidores RADIUS son los responsables de recibir los requerimientos de los usuarios, autenticarlos y devolver toda la información necesaria para que el cliente habilite los servicios correspondientes.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
104
RADIUS (Cont.)
� El servidor RADIUS puede mantener una base de datos de los usuarios de forma local, utilizar la base de datos de Windows, o un directorio LDAP.
� Las transacciones entre el cliente y el servidor son autenticadas por un secreto compartido, que no se envía por la red. Las contraseñas son enviadas en forma cifrada.
� El servidor RADIUS soporta diferentes métodos para autenticar un usuario. Soporta PPP, PAP, CHAP, MS-CHAP, Unix login, etc.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
105
RADIUS
36
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
106
TACACS+ versus RADIUS
Provee dos métodos: asignar niveles
de privilegios a los comandos y
especificar en el perfil del usuario o
del grupo de usuarios explícitamente
el conjunto de comandos que puede
ejecutar.
Soporte multiprotocolo
Utiliza los servicios de manera
independiente. Permite autenticar
con Kerberos
Encripción de todo el tráfico entre el
cliente y el servidor
TCP
TACACS +
Administrador de Routers
Soporte multiprotocolo
Autenticación y autorización
Encripción de datos
Protocolo de capa de
transporte
No permite asignar conjuntos de comandos
habilitados o deshabilitados a los usuarios,
por lo que no es útil para realizar
autenticación de administradores de
dispositivos
No soporta algunos protocolos:
AppleTalk Remote Access (ARAP) protocol
NetBIOS Frame Protocol Control protocol
Novell Asynchronous Services Interface
(NASI)
X.25 PAD connection
Combina ambos en el mismo paquete. Se
autentica y se pasan sus permisos
Solo encripción de contraseñas
UDP
Debe implementar controles. Más complejo
RADIUS
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
107
DIAMETER
� Es un protocolo de autenticación que tiene la
capacidad de autenticar varios tipos de dispositivos
sobre diferentes conexiones.
� Fue desarrollado para operar con IPSec.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
108
Control de Acceso Descentralizado
� Implica que toda verificación de autorización es
ejecutada por varias entidades dentro de un sistema.
� Requiere que varios equipos de personas gestionen el
control de acceso.
� La carga administrativa es alta, pero no presenta un
único punto de falla.
� Un ejemplo de esta metodología lo constituyen los
“Dominios” y sus “Relaciones de confianza”.
37
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
109
Control de Acceso Híbrido
� Combina el control de acceso centralizado con el
descentralizado.
� El control centralizado se utiliza para acceder a
recursos críticos de la organización:
� Logon a dominios
�Acceso a sistema de archivo
�Acceso a bases de datos, etc.
� El control descentralizado lo emplean los usuarios, a fin de determinar quiénes van a acceder a los archivos
individuales y directorios que ellos mismos crearon.
Access Control
Monitoreo, Auditoría y Logs
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
111
Monitoreo, Auditoría y Logs
� Monitoreo es el proceso por el cual las actividades no autorizadas en un sistema, son detectadas.
� El proceso de monitoreo es necesario para detectar acciones maliciosas de sujetos, intentos de intrusiones y fallas en el sistema.
� La capacidad de “loguear” eventos se encuentra incorporada en la mayoría de los sistemas operativos y aplicaciones.
� Cuando exista la cantidad suficiente de logs habilitados, más información existirá para poder obtener detalles sobre la ocurrencia de un determinado evento.
38
CISSP Security Training – Access Control Systems and Methodology
Access Control
Sistemas de Detección de Intrusos
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
113
Sistemas de Detección de Intrusos (IDS)
� Un IDS es un producto que automatiza la inspección
de los eventos de un sistema y la generación de los
logs correspondientes, en tiempo real.
� Son utilizados principalmente para detectar intentos de intrusión.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
114
� Los ataques reconocidos por un IDS pueden provenir
de conexiones externas, códigos maliciosos, sujetos
en conexiones internas que intentan ejecutar acciones
no autorizadas, etc.
� Un IDS puede detectar actividad sospechosa,
actuando como consecuencia:
�Producir logs
�Enviar alertas a los administradores
�Bloquear el acceso a archivos de sistema importantes
� Identificar el punto de origen de la intrusión
�Reconfigurar routers y firewalls, etc.
Sistemas de Detección de Intrusos (IDS) (Cont.)
39
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
115
� Entre las funciones típicas de un IDS, encontramos:
�Monitoreo de eventos del sistema y comportamiento de
usuarios.
�Registro de los eventos más importantes.
�Comprobación continua del sistema.
�Detección de ataques conocidos como no conocidos.
�Operación en tiempo real.
�Generación de alarmas.
�Actualización frecuente de su base de datos.
�Auto-configuración de dispositivos de red.
IDS - Principales Funciones
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
116
IDS - Limitaciones
� Entre las limitaciones y problemas más importantes,
encontramos:
�Falsos positivos (Falsas alarmas).
�Falsos negativos (Ataques no detectados).
�Necesidad de actualizar constantemente su base de
datos de patrones y firmas.
�Escasa o nula defensa ante nuevos ataques o ataques
sofisticados.
�Dificultad de operar en entornos conmutados.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
117
IDS - Tipos de Análisis
� Los IDS trabajan basados en algunos de los
siguientes tipos de análisis:
�Análisis de patrones
�Análisis estadístico
�Análisis de integridad
40
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
118
IDS - Su Relación con el Firewall
� El firewall es una herramienta de seguridad
informática basada en la aplicación de un sistema de
restricciones y excepciones.
� Los sistemas de detección de intrusiones son equivalentes a los equipos de video y a los sistemas
de sensores y alarmas contra ladrones.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
119
IDS - Su Relación con el Firewall (Cont.)
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
120
IDS - Acciones y Contramedidas
� Un IDS frente a la detección de un evento positivo
podrá:
�Registrar la información en un servidor de logs.
�Enviar alarmas a la consola de administración.
�Disparar alarmas vía mail, pager, etc.
�Realizar un DROP del paquete intrusivo.
�Realizar un RESET de la conexión intrusiva.
�Bloquear el tráfico intruso interactuando con el Firewall
y/o router de borde.
41
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
121
IDS - Logs y Alarmas
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
122
IDS - Reset de Conexiones
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
123
IDS - Bloqueo de Tráfico
42
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
124
Tipos de IDS
� Según su arquitectura, diseño y ubicación, podemos
encontrar dos tipos de IDS a saber:
� IDS de Red (NIDS)
� IDS de Host (HIDS)
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
125
IDS de Red (NIDS)
� Actúan sobre un segmento de red capturando y analizando paquetes, buscando patrones que supongan algún tipo de ataque.
� Constituyen dispositivos de red configurados en modo promiscuo.
� La implementación del monitoreo basado en red o NIDS, implica la localización de dispositivos de sondeo o Sensores en determinados segmentos de la red.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
126
� Se encargarán de capturar y analizar el tráfico en busca de actividades maliciosas o no autorizadas en tiempo real, y podrán tomar medidas preventivas cuando sea necesario.
� Los sensores deben ser desplegados en puntos críticos de la red, de manera que los administradores de seguridad puedan supervisar los eventos de toda la red mientras se está desarrollando, independientemente de la ubicación del objetivo del ataque.
IDS de Red (NIDS) (Cont.)
43
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
127
� Implementado sobre host críticos y expuestos
(Servidor web, correo).
� Permite la auditoría de los sistemas de archivos,
recursos y logs.
� Reporta los eventos a una consola central de
administración.
� Puede supervisar los procesos del sistema operativo y
proteger los recursos críticos.
� Las implementaciones actuales requieren que se
instale un software agente en el host para supervisar
las actividades y realizar el análisis correspondiente.
IDS de Host (HIDS)
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
128
IDS - Herramientas Relacionadas
� Existen herramientas que expanden las capacidades
de los IDS haciéndolos más eficientes contra falsos
positivos:
�Honey Pots
�Padded Cell
�Vulnerability Assessment
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
129
Honey Pots
� Están formados por dispositivos individuales o redes
enteras que sirven de señuelos a los intrusos.
44
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
130
Padded Cell
� Es similar a un Honey Pot, pero posibilita aislar al
intruso usando una manera distinta.
� Cuando un IDS detecta a un intruso, éste es
automáticamente transferido a la “padded cell”, la cual tiene un aspecto similar al de la red actual.
� Aquí el intruso no puede ejecutar actividades
maliciosas o acceder a información crítica.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
131
Vulnerability Assessment
� Es utilizado para comprobar la existencia de
vulnerabilidades conocidas en nuestro sistema.
� Un Vulnerability Assessment suele consistir en la
ejecución de una serie de herramientas automáticas conocidas como “Scanners de Vulnerabilidades”, las
cuales configuradas y ejecutadas del modo correcto,
permiten al profesional de seguridad, testear el
sistema o red objetivo en busca de vulnerabilidades,
debilidades o errores comunes de configuración.
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
132
Vulnerability Assessment (Cont.)
� La ejecución periódica de este tipo de servicios, le
permite:
�Alertar acerca de configuraciones incorrectas en sus
firewalls, host y dispositivos de borde.
�Descubrir vulnerabilidades como resultado de cambios
en la configuración.
�Detectar la falta de parches y actualizaciones en los
sistemas de la compañía.
� Localizar debilidades y vulnerabilidades conocidas
antes de que los atacantes lo hagan.
45
CISSP Security Training – Access Control Systems and Methodology
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
133
Vulnerability Assessment (Cont.)
� A diferencia de los “Penetration Test”, la ejecución
de un “Vulnerability Assessment” tiene un carácter
menos intrusivo.
� Mientras que el primero intenta la explotación real de la debilidad o vulnerabilidad encontrada, a fin de
confirmar su existencia, el segundo apunta
específicamente a identificar la existencia de
vulnerabilidades o debilidades conocidas.
Access Control
Amenazas - Ataques
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
135
Ataques
� Entre los métodos de ataque más importantes,
encontramos:
�Password Crackers (Fuerza Bruta y Diccionario)
�Penetration Testing
�Denegación de Servicio (DoS)
�Spoofing
�Man-in-the-Middle
�Sniffers
46
CISSP Security Training – Access Control Systems and Methodology
Access Control
Referencias y Lecturas Complementarias
CISSP Security Training - Access ControlCopyright © 2004-2008 SICinformática S.R.L.
137
� CISSP All-in-One Exam Guide, Third Edition (All-in-One)
By Shon Harris (McGraw-Hill Osborne Media) ISBN: 0072257121
� Official (ISC)2 Guide to the CISSP Exam
By Susan Hansche (AUERBACH) ISBN: 084931707X
� The CISSP Prep Guide: Gold Edition
By Ronald L. Krutz, Russell Dean Vines (Wiley) ISBN: 047126802X
� CISSP Certification Training Guide
By Roberta Bragg (Que) ISBN: 078972801X
� CCCure.Org WebSite: http://www.cccure.org
By Clement Dupuis
� Advanced CISSP Prep Guide: Exam Q&A
By Ronald L. Krutz, Russell Dean Vines (Wiley) ISBN: 0471236632
� Information Security Management Handbook, Fifth Edition
By Harold F. Tipton, Micki Krause (Que) ISBN: 0849319978
� CISSP: Certified Information Systems Security Profesional Study Guide, Third Edition
By James M. Stewart, Ed Tittel, Mike Chapple (Sybex) ISBN: 0782144438
Referencias y Lecturas Complementarias
Access Control
Preguntas?