Control de acceso de exploración por la seguridad + certificación
Control de acceso
Conteúdo
Sistemas de control de acceso proporcionan tres servicios esenciales:
- Identificación y autenticación (IA): Estos determinan quién puede iniciar sesión en un sistema.
- Autorización: Esto determina lo que un usuario autorizado puede hacer.
- Rendición de cuentas: Identifica lo que hizo un usuario.
Identificación y autenticación (IA)
Identificación y autentificación (IA) es un proceso de dos pasos que determina quién puede iniciar sesión en un sistema.
- Identificación es como un usuario le dice a un sistema que él o ella es (por ejemplo, mediante el uso de un nombre de usuario).
• El componente de identificación de un sistema de control de acceso es normalmente un mecanismo relativamente simple basado en cualquiera de usuario o ID de usuario.
- En el caso de un sistema o proceso, la identificación se basa generalmente en
• Nombre de equipo
• Media Access Control (MAC)
• Protocolo de Internet (IP)
• ID de proceso (PID)
- Los únicos requisitos para la identificación son que la identificación
• debe identificar exclusivamente el usuario.
• No debe identificar la posición de ese usuario o importancia relativa en una organización (como sellos como presidente o CEO).
• debe evitar el uso de cuentas de usuario comunes o compartidos, tales como raíz, administración, y sysadmin.
• Estas cuentas proporcionan ninguna responsabilidad y son blancos jugosos para los piratas informáticos.
- Autenticación es el proceso de verificación de identidad alegada de un usuario (por ejemplo, mediante la comparación de una contraseña introducida con la contraseña almacenada en un sistema para un nombre de usuario dado).
- La autenticación se basa en al menos uno de estos tres factores:
• Algo que usted sabe, tal como una contraseña o un número de identificación personal (PIN). Esto supone que sólo el propietario de la cuenta sabe la contraseña o PIN necesario para acceder a la cuenta. Por desgracia, las contraseñas a menudo son compartidos, robados, o adivinado.
• Algo que tiene,tal como una tarjeta inteligente o token. Esto supone que sólo el propietario de la cuenta tiene la tarjeta inteligente necesaria o de emergencia necesario para desbloquear la cuenta.
• Desafortunadamente, las tarjetas inteligentes o tokens puede ser perdido, robado, prestado, o duplicado.
• Algo que eres,tales como huellas digitales, voz, retina, o las características del iris. Esto supone que el dedo o el globo ocular unido a su cuerpo es en realidad el suyo y usted identifica de forma exclusiva.
• El mayor inconveniente es la aceptación del usuario - muchas personas se sienten incómodos sobre el uso de estos sistemas.
Autorización
Autorización (o establecimiento) Define los derechos de un usuario y permisos en un sistema. Después de un usuario (o proceso) es autenticado, autorización determina lo que el usuario puede hacer en el sistema.
La mayoría de los sistemas operativos modernos definen conjuntos de permisos que son variaciones o ampliaciones de tres tipos básicos de acceso:
- Leer (R): El usuario puede
• Leer el contenido del archivo
# Contenido del directorio 8226- Lista
- Escribir (W): El usuario puede cambiar el contenido de un archivo o directorio con estas tareas:
• Añadir
• Crear
• Eliminar
• Renombrar
- Ejecutar (X): Si el archivo es un programa, el usuario puede ejecutar el programa.
Estos derechos y permisos se aplican de manera diferente en los sistemas basados en control de acceso discrecional (DAC) y control de acceso obligatorio (MAC).
Rendición de cuentas
Rendición de Cuentas utiliza este tipo de componentes del sistema como pistas de auditoría (registros) y los registros de asociar un usuario con sus acciones. Las pistas de auditoría y los registros son importantes para
- La detección de violaciónes de seguridad
- Re-creando incidentes de seguridad
Si nadie está revisando periódicamente sus registros y no se mantienen de una manera segura y consistente, que no puede ser admisible como prueba.
Muchos sistemas pueden generar informes automáticos sobre la base de ciertos criterios o umbrales predefinidos, conocidos como niveles de recorte. Por ejemplo, un nivel de corte se puede ajustar para generar un informe de lo siguiente:
- Más de tres intentos fallidos de inicio de sesión en un período determinado
- Cualquier intento de utilizar una cuenta de usuario deshabilitada
Estos informes ayudan a un administrador del sistema o el administrador de seguridad identificar más fácilmente posibles intentos de robo.
Técnicas de control de acceso
Técnicas de control de acceso generalmente se clasifican ya sea como discrecional o obligatorio. La comprensión de las diferencias entre el control discrecional de acceso (DAC) y control de acceso obligatorio (MAC), así como los métodos específicos de control de acceso en cada categoría, es fundamental para pasar el examen de seguridad +.
Control de acceso discrecional
Dcontrol de acceso iscretionary (DAC) es una política de acceso determinado por el propietario de un archivo (u otros recursos). El propietario decide que se le permite el acceso al archivo y qué privilegios que tienen.
Dos conceptos importantes de DAC son
- Archivos y datos de la propiedad: Cada objeto en un sistema debe tener un propietario. La política de acceso está determinado por el propietario del recurso (incluyendo archivos, directorios, datos, recursos del sistema y dispositivos). En teoría, un objeto sin dueño se deja sin protección.
- Normalmente, el propietario de un recurso es la persona que creó el recurso (como un archivo o directorio).
- Los derechos de acceso y permisos: Estos son los controles que un propietario puede asignar a usuarios individuales o grupos de recursos específicos.
Controles de acceso discrecionales se pueden aplicar a través de las siguientes técnicas:
- Listas de control de acceso (ACL) el nombre de los derechos y permisos específicos que se asignan a un sujeto para un objeto dado. Listas de control de acceso proporcionan un método flexible para la aplicación de los controles de acceso discrecionales.
- Control de acceso basado en roles asigna pertenencia a un grupo basado en roles organizacionales o funcionales. Esta estrategia simplifica en gran medida la gestión de los derechos de acceso y permisos:
• Derechos de acceso y permisos para los objetos se les asigna ningún grupo o, además, los individuos.
• Los individuos pueden pertenecer a uno o varios grupos. Las personas pueden ser designados para adquirir acumulativo permisos (todos los permisos de alguna grupo que están en) o descalificado de cualquier permiso que no es parte de cada grupo que se encuentran.
Control de acceso obligatorio
Control de acceso obligatorio (MAC) es una política de acceso determinado por el sistema, no el propietario. MAC se utiliza en sistemas multinivel que procesan datos altamente sensibles, como el gobierno y la información militar clasificada. LA sistema multinivel es un solo sistema informático que se encarga de múltiples niveles de clasificación entre los sujetos y objetos.
Dos conceptos importantes de MAC son los siguientes:
- Etiquetas de sensibilidad: En un sistema basado en MAC, todos los sujetos y objetos deben tener etiquetas asignado a ellos.
- Etiqueta de la sensibilidad de un tema especifica su nivel de confianza. Etiqueta de la sensibilidad de un objeto especifica el nivel de confianza requerido para el acceso.
- Con el fin de acceder a un objeto dado, el sujeto debe tener un nivel de sensibilidad igual o más alto que el objeto solicitado.
- Importación y exportación de datos: El control de la importación de la información de otros sistemas y la exportación a otros sistemas (como impresoras) es una función crítica de los sistemas basados en MAC, que deben garantizar que las etiquetas de sensibilidad están debidamente mantenido y aplicado de manera que la información sensible se protege adecuadamente en todo momento.
Dos métodos se utilizan comúnmente para la aplicación de control de acceso obligatorio:
- Controles de acceso basados en reglas:Este tipo de control define aún más las condiciones específicas de acceso a un objeto solicitado.
- Todos los sistemas basados en MAC implementar una forma simple de control de acceso basado en reglas para determinar si el acceso debe ser concedida o denegada por juego
• etiqueta de sensibilidad de un objeto
• etiqueta de sensibilidad de un sujeto
- Controles de acceso basados en celosía: Thesecan ser utilizado para decisiones complejas de control de acceso que involucran múltiples objetos y / o sujetos.
- LA modelo de celosía es una estructura matemática que define mayor de menor cota y menos la parte superior del límite valores para un par de elementos, tales como un sujeto y un objeto.