introducción al control de acceso

Seguridad, Auditoría y Continuidad de Redes Telecomunicaciones

José Alfredo Torres SolanoDSA 213

Introducción al Control de Acceso


Temario

Tipos de Control de AccesoImplementación de Controles de AccesoPolíticasAdministración de la Privacidad y el Rol de los AuditoresExposiciones y Control de Acceso LógicoIdentificación y Autentificación


Tipos de Control de Acceso



Acceso a los SistemasPermiso de acceso a un sistema es la prerrogativa o acto sobre un recurso de cómputoDos tipos:

LógicoProvee medios técnicos para controlar la información que

los usuarios pueden utilizar, los programas que pueden ejecutar y las modificaciones que pueden hacer. Los controles pueden estar en el sistema operativo, aplicaciones, bases de datos, dispositivos de red y utilerías

FísicoRestringen la entrada y salida de personal, equipos y

medios de áreas como edificios, centros de datos o cuartos de servidores


Tipos de Control de AccesoDefiniciones de Control de Acceso

La habilidad para permitir el acceso a recursos del sistema sólo a usuarios, programas o procesos del sistemas autorizadosEl permitir o negar determinado tipo de acceso a los recursos, de acuerdo a un modelo de seguridad en particularUn conjunto de procedimientos efectuados por hardware, software y administradores; para monitorear el acceso, identificar requerimientos de acceso de los usuarios, registrar los intentos de acceso, y proporcionar o negar el acceso basado en reglas preestablecidas


Tipos de Control de AccesoDiferentes tipos de Control de Acceso

Discrecional (DAC)Mandatorio (MAC)Basado en Roles (RBAC)Modelos formales:

Clark/WilsonBibaTake/GrantBell/LaPadula

El conjunto de teorías es usado para definir el concepto de estado seguro, el modo de acceso, y las reglas para la asignación de derechos de acceso


Tipos de Control de AccesoProblemas con los modelos formales

Basados en infraestructura estáticaDefine en forma breve las políticasNo trabajan bien con sistemas corporativos que son extremadamente dinámicos y cambian constantementeNinguno de los modelos previos contempla:

Virus/MacrosCaballos de TroyaFirewalls

Limitada documentación de cómo construir estos sistemas


Tipos de Control de AccesoMAC v.s. DAC

Control de Acceso Discrecional (DAC)Este se basa en la definición de propiedad para cada recurso y la posibilidad de compartir dicho recurso de información con otros.Tu decides como quieres proteger y compartir tus datos

Control de Acceso Mandatorio (MAC)Este se lleva acabo comparando el nivel de sensibilidad de la información con el nivel de permisos que posee el usuario o la aplicaciónEl sistema decide como los datos deben ser compartidos



Control de Acceso Basado en Roles (RBAC)En lugar de especificar todos los accesos que le son permitidos para cada usuario, el acceso a los objetos es especificado en base a rolesDe acuerdo al rol que juega el usuario, se le conceden los permisos especificados para dicho rolVentajas

Administración de la autorizaciónRoles jerárquicosMenor Privilegio


Implantación de Control de Acceso



Políticas y MecanismosEn control de acceso, es necesario distinguir entre

políticas y mecanismosPolíticas – Son las directrices de nivel alto que determinan como los controles de acceso son administrados y como la decisiones de acceso son determinadasMecanismos – Son las funciones de software y hardware de nivel bajo que pueden ser configuradas para implantar las políticas



¿Cómo se puede implantar el Control de Acceso?Forma físicaHardwareSoftware

AplicaciónProtocolos (Kerberos, IPSec)

Lógico (Políticas)



¿Qué es lo que pretende proteger el Control de Acceso?Datos.- Visualización no autorizada, modificación o copiaSistemas.- Uso no autorizado, modificación o negación de servicio



Controles de Acceso FísicoGuardiasCandadosCarnés de identificaciónCCTV, sensores y alarmasBiométricosAlambrados (mayor el voltaje es mejor)Card-key y tokensPerros guardianes


Implantación de Control de AccesoControl de Acceso

El acceso físico y lógico debe estar documentado sobre la base de necesidad de conocer, y requerimientos legítimos basados en los principios de menor privilegio y segregación de funcionesEstos principios se encuentran relacionados con cuatro niveles de seguridad de TI:

RedPlataformasBases de datosAplicaciones

Este concepto provee un gran alcance y granularidad de control sobre los recursos de información


Políticas


Políticas

Políticas y Requerimientos del NegocioLos requerimientos del negocio para el control de acceso deben ser definidos y documentadosLas reglas de control de acceso y derechos para cada usuario y grupo de usuarios debe ser claramente definido dentro de las políticas de accesoLos usuarios y proveedores de servicio deben expresar claramente los requerimientos de negocio a ser satisfechos por los controles de acceso


PolíticasPolíticas y Requerimientos del Negocio

Las políticas deben tomar en cuenta los siguiente:Requerimientos de seguridad para cada aplicación de negocio en forma individual Identificación de toda la información relacionada con las aplicaciones del negocioPolíticas para la diseminación y autorización de la información (principios de necesidad de conocer y niveles de clasificación de la información)Consistencia entre los controles de acceso y las políticas de clasificación de la información para acceder a la información o serviciosLegislación relevante cualquier obligación contractual con respecto al acceso de los datos o servicios



Los dueños de la información o los administradores responsables de la actualización deben de proveer autorización escrita para que los usuarios tengan derecho de acceder a la información

El administrador debe de entregar el documento directamente al administrador de seguridad para evitar alteracionesLas capacidades de acceso son implantados por los administradores de seguridad dentro del conjunto de reglas de acceso que estipulan que usuarios están autorizados para acceder a los recursos a un nivel específicoLos administradores de seguridad invocan los mecanismos de control de acceso apropiados a la recepción de la autorización para proporcionar los derechos de acceso



La autorización de acceso debe ser evaluada en forma regular para asegurar que permanece válida

Los dueños de la información deben revisar los controles de acceso periódicamenteCualquier acceso que exceda la filosofía de acceso debe ser cambiada en concordancia

Externos con acceso a los sistemas deben ajustarse a las políticas y responsabilidades

Empleados contratadosProgramadores y analistas del vendedorPersonal de mantenimientoClientes


Implantación de Control de AccesoFactores Críticos de Éxito para la Administración de la Seguridad de la Información

Aceptación y soporte por parte de la administración senior, esto puede requerir de capacitación de acuerdo a su nivelProgramas basados en análisis de riesgo profesional debe ser usado en forma sistemáticaPolíticas de seguridad y procedimientos actualizados basados en análisis de riesgo. Medidas deben ser tomadas para llevar el riesgo residual a niveles aceptablesEl desarrollo de políticas de seguridad para los sistemas de información, base para el control de acceso, es responsabilidad de la alta dirección. Las políticas contribuyen a la protección de los activos de información, contra todos tipos de riesgos accidentales o intencionales. Debe de estar de acuerdo con leyes y regulaciones, integridad de datos, confidencialidad y disponibilidad


Administración de la Privacidad y el Rol de los Auditores



Privacidad significa adherencia de confianza y obligación en relación a cualquier información relacionada con la identidad o identificación de individuosLa privacidad abarca toda la empresa y por su naturaleza requiere de un acercamiento homogéneo a través de ella. Por ello debe estar integrada dentro de las políticas, estándares y procedimientos desde el principioProblemas de Privacidad y Seguridad de la Información

Activos de información a proteger =>estrategia de administraciónCómo la organización debe de usar la privacidad de los datos dentro y fuera de la organización



Metas de un análisis de impacto a la PrivacidadIdentificar la información personal asociada con los procesos del negocioDocumentar la obtención, uso, divulgación y destrucción de información personalAsegurar la responsabilidad de los problemas relacionados con la privacidadSer el fundamento para la comunicación de políticas, operaciones y diseño de sistemas basado en el entendimiento de los riesgos de la privacidad y las opciones disponibles para mitigar dicho riesgo



Metas de un análisis de impacto a la PrivacidadBasado en los resultados es posible crear un formato consistente y proceso estructurado para el análisis del cumplimento técnico y legal con las regulaciones correspondientes.

Por ello es necesario:Asegurar que la responsabilidad del problema de privacidad está claramente incorporada en los proyectosLlevar a cabo revisiones y retroalimentaciones de los sistemas de información en relación al cumplimiento de la privacidad


Administración de la Privacidad y el Rol de los AuditoresEl foco y la extensión del análisis de impacto

a la privacidad depende de cambios en:

•Tecnología–Nuevos programas–Cambios a los ya existentes–Ligas adicionalesa los sistemas–Data warehouse–Nuevos productos

•Procesos–Cambios deAdministración–Reingeniería de procesos–Nuevos sistemas–Nuevas operaciones

•Personal–Socios del negocio–Vendedores–Proveedores de servicio



Los Auditores de SI deben de revisar:Identificar y entender los requerimientos legales con respecto a la privacidad de leyes, regulaciones y contratosRevisar donde los datos personales son correctamente manejados con respecto a los requerimientosVerificar que las medidas de seguridad correctas sean adoptadasRevisar las políticas de administración de la privacidad para validar que toma en consideración los requerimientos legales y regulaciones aplicables a la privacidad. Esto incluye requerimientos de transfrontera (transborder data flow)


Exposiciones y Control de Acceso Lógico



AmenazasPerdida financieraRepercusiones legalesPerdida de credibilidad o de la ventaja competitivaChantaje/Espionaje industrialRevelación de Información confidencial, sensitiva o embarazosaSabotaje

Es importante que el auditor conozca la diferencia entre crimen y abuso para soportar las metodologías de análisis de riesgo y prácticas de control relacionadas



VioladoresIntrusos (“hackers”, “script kiddies”, “crackers”)EmpleadosPersonal de SIUsuarios finalesEx empleadosAjenos interesados o educandos

CompetidoresExtranjerosCriminales organizadosCrackers (pagados por terceros)PhreackersPersonal de tiempo parcial y temporalVendedores y consultoresIgnorantes accidentales



El control de acceso lógico es el medio primario para la administración y protección de los recursos, reduciendo el riesgo a un nivel aceptable. Controles de acceso inadecuados incrementan la pérdida potencial resultado de exposiciones

Exposiciones de acceso lógicoExposiciones técnicas son las actividades no autorizadas (intencionales o no intencionales) que interfieren con el procesamiento normal

Caballos de TroyaVirusGusanosBombas lógicas



Exposiciones de acceso lógico ...Puertas traserasAtaques asíncronosFuga de datosIntercepción de líneas (wire-trapping)War drivingDispositivos adosados (piggybacking)Cierre de computadoras (shutdown)Ataques de negación de servicioRedondeo hacia abajoTécnicas de salami


Exposiciones y Control de Acceso LógicoPara el auditor es necesario

Familiarizarse con el ambiente de TI de la organizaciónEl propósito es determinar la áreas de riesgo, esto incluye el revisar los niveles de seguridad existentes para redes, plataformas de sistemas operativos, bases de datos y aplicaciones

Conocer las trayectorias de acceso lógicoPuntos generales de acceso

Conectividad de la redAcceso remotoConsola del operadorEstaciones de trabajo o terminales



Software de Control de Acceso LógicoEl propósito del software de control de acceso es el prevenir acceso no autorizado y la modificación de los datos sensibles de la organización y el uso de las funciones críticas de los sistemasPara alcanzar este nivel de control es necesario el aplicar controles de acceso a todos los niveles de la arquitectura de los sistemas de información (redes, sistemas operativos, bases de datos y aplicaciones)Los mayores grados de protección para la aplicación de software de control de acceso es los niveles de red y sistemas operativosEl software de control de acceso de los sistemas operativos tiene interfaz con otros elementos de control de acceso como las interfaces de red, bases de datos, aplicaciones



Software de Control de Acceso Lógico …Funciones de control de acceso de sistemas operativos

Mecanismos de identificación y autentificaciónRestricción de uso a terminales/estaciones de trabajo específicas y a tiempo específicosEstablecer reglas de acceso a los recursos de informaciónManejar la contabilidad y auditabilidad individualCrear o cambiar perfiles de usuariosRegistro de eventosRegistro de actividades de los usuariosReporte de capacidades (“capabilities”)



Software de Control de Acceso Lógico ...Funciones de control de acceso a bases de datos o aplicaciones

Crear o cambiar archivos de datos y perfiles de base de datosVerificar la autorización de los usuarios a nivel de aplicación y transacciónVerificar la autorización de los usuarios dentro de la aplicaciónVerificar la autorización a nivel de campo para cambios en la base de datosVerificar la autorización de los usuarios a nivel de archivoRegistrar las actividades de acceso vía comunicaciones a los datos y bases de datos para monitorear violaciones de acceso

En resumen, software de control de acceso es proveído a diferentes niveles dentro de la arquitectura de información, donde cada nivel provee un cierto nivel de seguridad.


Identificación y Autentificación


Identificación y AutentificaciónElemento crítico en la seguridad de la computadora, ya que es la base para la mayoría de los controles de acceso y para establecer la responsabilidad a los usuariosSe basan en “algo que se conoce”, en “algo que se tiene” o en “algo que se es”Vulnerabilidades comunes

Métodos débiles de autentificaciónBrincarse los métodos de autentificaciónPérdida de confidencialidad e integridad de la información de autentificaciónInformación de autentificación transmitida sobre la red no cifradaLa falta de conocimiento de los usuarios sobre el riesgo asociado con compartir elementos de autentificación



Es necesario hacer notar que identificar y autentificar son tareas separadas. Mientras que algunos tipos de autentificación pueden ser suficientes para identificar usuarios, la identificación y la autentificación difiere debido a:

SentidoMétodos, periféricos y técnicas que lo soportanRequerimientos en términos de secrecía y administraciónAtributos. Autentificación no tiene atributos por si mismo, mientras que una identidad puede tener una validez definida en el tiempo y otra información ligada a ella mismaLa identidad es algo que normalmente no cambia, mientras que tokens de autentificación ligada a la secrecía puede ser reemplazada regularmente para preservar su confiabilidad



Es importante hacer una distinción entre autenticación y control de accesoLa correcta identificación del usuario es responsabilidad del sistema de identificaciónEl control de acceso asume que la identificación del usuario ha sido satisfactoriamente verificada antes de que el sistema de control de acceso haga su trabajo



Logon ID y contraseñas (passwords)Algo que se conoce – Contraseña, PIN, Dirección, passcode, importe último pagoProceso de identificación/autentificación de dos fases usado para restringir el acceso a los sistemas computarizados, bases de datos, transacciones y aplicaciones. El login ID es usado para identificar y la contraseña para autentificarLas reglas de acceso son usualmente aplicadas a nivel de sistema operativo, o dentro de las aplicaciones



Características de las contraseñasFácil de recordar difícil de adivinarContraseña inicial asignada por el administradorNúmero predeterminado de intentos fallidos (tres)Los usuarios que olvidaron su contraseña debe ser notificado al administradorDebe ser cifrada usando algoritmos de una sola víaDeben ser cambiadas periódicamente (ejemplo 30 días)Deben ser únicas y conocidas sólo por su propietario


Identificación y AutentificaciónMejores prácticas

Si una cuenta se encuentra inactiva por un tiempo debe ser desactivadaLa sesión debe ser desconectada después de un período de tiempo sin uso (una hora)

Reglas de sintaxis de las contraseñasUn mínimo de ocho caracteres de longitud. Una frase de seguridad es generalmente aceptada como una contraseña más seguraCombinación de alfanuméricos, números, minúsculas, mayúsculas y caracteres especialesNo debe ser identificable con los usuariosNo debe permitir que la última contraseña sea repetida cuando menos durante un año



Problemas con los passwordsInseguros – Si se les da la oportunidad, la gente escogerá uno fácil de recordad y por ello fácil de adivinar, tales como nombres de parientes, mascotas, número de teléfono, cumpleaños, pasatiempos, etcFácilmente pueden ser rotos – Programas tales como l0phcrack, pueden fácilmente descifrar contraseñas

Los ataques por diccionario son posibles cuando los usuarios seleccionan contraseñas adivinables

Inconvenientes – Con la intención de mejorar la seguridad, las organizaciones hacen uso de contraseñas generadas por computadora y que son difíciles mas no imposibles de recordarRepudiables – A diferencia de las firmas escritas, cuando una transacción es firmada con sólo una contraseña, no existe una prueba real de la identidad del individuo que hizo la transacción



TokensUsados para facilitar las contraseñas de una sola vezTarjeta físicaIdentificación segura (SecureID)S/KeyTarjeta InteligenteToken de acceso



BiométricosEl mejor medio de identificación de usuarios basados sobre un único atributo y/o rasgo medible, para la verificación de un ser humanoEl uso de biométricos involucra el uso de un dispositivo de lectura, sin embargo este no es a prueba de fallas debido a que ciertas características biométricas pueden cambiar. Por esta razón no todos son igualmente efectivos



Biométricos …El rendimiento de los dispositivos de control biométricos se basan en cantidades mediblespara asignar el nivel de confiabilidad

Error tipo I el rechazo en falso (FRR)Aunado al anterior es la falla de caracterización (FER)Error tipo II aceptación en falso (FAR)Una métrica global es la tasa de error igual (EER)


Identificación y AutentificaciónBiométricos …

Palma de la manoGeometría de la manoIrisRetinaHuella digital (bajo costo y dispositivos pequeños)RostroReconocimiento de firmaReconocimiento de voz


Identificación y AutentificaciónVentajas del uso de huellas dactilares basados en biométricos

No puede ser prestada como una llave física o tokeny no puede ser olvidada como una contraseñaBuena relación entre su uso, costo y veracidadLas huellas dactilares contiene suficiente variabilidad que permite la identificación única aún en grandes bases de datos (millones de registros)Es prácticamente para siempre (o al menos hasta una amputación o desmembramiento)Permite a las redes una buena identificación y autentificación



Desventajas de los biométricosPueden ser relativamente caros por usuarioPuede existir resistencia por parte del usuarioAlgunas compañías y productos son relativamente nuevos e inmaduros



Administración de biométricosIntegridad de datos, autenticidad y no repudioAdministración durante el tiempo de contratación, transmisión, almacenamiento, identificación y terminación de relacionesEl uso de biométricos incluye concordancia de uno-a-uno, uno-a-muchos para la identificación y autentificación de los usuariosAplicación control de acceso interno, externo asícomo lógico y físico



Administración de biométricos …Encapsulamiento de datos biométricosTécnicas para transmisión segura y almacenamiento de los datos biométricosSeguridad del hardware usado a través del ciclo de vida de los datos biométricosTécnicas para la protección de la integridad y protección de los datos biométricos



Administración debe ser desarrollada para aprobar las políticas sobre administración y seguridad sobre información biométricas (BIMS)El auditor debe usar las políticas de BIMS para entender el sistema biométrico en usoEste punto debe ser tomado como todo sistema crítico de información


Identificación y AutentificaciónAutenticación Multifactor

Autenticación de 2 factores. Para incrementar el nivel de seguridad, muchos sistemas requieren que el usuario provea 2 o 3 tipos de autenticación

Tarjeta + PINTarjeta de crédito + firmaPIN + huella dactilarUsername + password

Autenticación de 3 factores. Para alta seguridadUsername + password + huella dactilarUsername + password + SecureID Token


Introducción al Control de Acceso

José Alfredo Torres Solano, MCC CISA [email protected]

introducción al control de acceso

Documents