CISSP - 05 - Access Control v3

CISSP Security Training Access Control Systems and Methodology
Access Control
Agenda
Aspectos generales
Tipos de control de acceso
Implementacin de control de acceso
Identificacin, autenticacin, autorizacin y auditora
Tcnicas de identificacin y autenticacin
Passwords
Sistemas Biomtricos
Tokens / Tickets / Single Sign On
Kerberos
Modelos de control de acceso
Administracin de control de acceso
Monitoreo, Auditora y Logs
Sistemas de Deteccin de Intrusos (IDS)
Mtodos de ataque
Referencias y Lecturas Complementarias
Preguntas
CISSP Security Training - Access Control 2

Copyright 2004-2008 SICinformtica S.R.L.
Access Control
Aspectos Generales
1
Aspectos Generales
La transferencia de informacin desde un objeto a un

sujeto es llamada acceso.
Los sujetos son entidades activas, que pueden estar
representados por:
Usuarios
Programas
Procesos
Computadoras, etc.

Aspectos Generales (Cont.)
Los objetos son entidades pasivas, que pueden estar

representados por:
Archivos
Bases de datos
Programas
Procesos
Impresoras
Medios de almacenamientos, etc.

Aspectos Generales (Cont.)
El sujeto es siempre la entidad que recibe informacin

acerca del objeto, o datos que provienen de ste.
El sujeto es tambin la entidad que altera o modifica la
informacin del objeto, o bien, los datos almacenados
dentro de l.

2
CIA Triad
El Control de Acceso se implementa para asegurar:

Confidencialidad
Integridad
Disponibilidad

Confidencialidad
Es la necesidad de que la informacin slo sea

conocida por personas autorizadas.

Integridad
Es la caracterstica que hace que el contenido de la

informacin permanezca inalterado, a menos que sea
modificado por personal autorizado

3
Disponibilidad
Es la capacidad que permite que la informacin se

encuentre siempre disponible, para que pueda ser
procesada por el personal autorizado.

Access Control
Tipos de Control de
Acceso
Tipos de Control de Acceso
Los controles de acceso pueden ser divididos en tres

tipos principales:
Control de Acceso Preventivo
Control de Acceso Detectivo
Control de Acceso Correctivo
Tambin pueden encontrarse los siguientes:

Control de Acceso de Disuasin
Control de Acceso de Recuperacin
Control de Acceso de Compensacin

4
Control de Acceso Preventivo
Es implementado para detener una actividad no

autorizada, antes que la misma ocurra.
Algunos ejemplos son:
Polticas de seguridad
Capacitacin en materia de seguridad
Aplicaciones antivirus
Firewall
Encripcin, etc.

Control de Acceso Detectivo
Es implementado para descubrir una actividad no

autorizada.
Guardias de seguridad
Investigacin de incidentes
Sistemas de deteccin, etc.

Control de Acceso Correctivo
Es implementado para restaurar un sistema a su

funcionamiento normal, luego de que una actividad no
autorizada ha ocurrido.
Polticas de seguridad
Manuales
Plan de Contingencia, etc.

5
Control de Acceso de Disuasin
Son controles usados para desalentar violaciones de

seguridad.
Cerraduras
Rejas
Guardias de seguridad
Circuito cerrado de TV
Separacin de funciones, etc.

Control de Acceso de Recuperacin
Son controles usados para restaurar recursos y

capacidades.
Copias de seguridad
Software antivirus, etc.

Control de Acceso de Compensacin
Es implementado para brindar alternativas a otros

tipos de control.
Monitoreo y supervisin
Procedimientos de personal, etc.

6
Access Control
Implementacin del
Control de Acceso
Implementacin de Control de Acceso
La implementacin de un Control de Acceso puede

ser categorizada en:
Control de Acceso Administrativo
Control de Acceso Lgico / Tcnico
Control de Acceso Fsico

Control de Acceso Administrativo
Comprenden las normas y procedimientos definidos

en la Poltica de Seguridad de la Organizacin, a fin
de implementar y hacer cumplir las medidas de control
de acceso.
Polticas
Procedimientos
Revisiones
Clasificacin de los datos
Capacitacin en seguridad, etc.

7
Control de Acceso Lgico/Tcnico
Comprenden los mecanismos de hardware o software

usados para gestionar el acceso a recursos y
sistemas de manera de brindar proteccin a los
mismos.
Passwords
Encripcin
Smart Cards
Sistemas biomtricos
ACLs, etc.

Control de Acceso Fsico
Comprenden la distribucin de barreras fsicas a fin de

prevenir el contacto directo con los sistemas.
Detectores de movimientos
Sensores
Luces
Cerraduras
Perros
Cmaras, etc.

Access Control
Identificacin, Autenticacin,
Autorizacin y Accounting
8
Pasos para Acceder a un Objeto
El control de acceso gobierna el acceso de sujetos a

objetos.
Existen varios pasos para poder acceder a un objeto:
Identificacin
Autenticacin
Autorizacin
Auditora / Responsabilidad (Accouting)

Identificacin
Es el proceso por el cual un sujeto proporciona una

identidad y una cuenta es iniciada.
Un usuario puede utilizar como identidad:
Username
Logon ID
PIN, etc.

Autenticacin
Es el proceso de verificar que una identidad

proporcionada es vlida.
La autenticacin requiere que el sujeto proporcione
informacin adicional que debe corresponder
exactamente con la identidad indicada.
El mtodo ms comn, es el empleo de Passwords.

9
Autenticacin (Cont.)
Los tipos de informacin ms comunes que pueden ser

empleados son:
Tipo 1: Un factor de autenticacin por Tipo 1 es Algo que

usted conozca, como ser: una password, un PIN, etc.

usted tiene, como ser: una smart card, un token, etc.

usted es, como ser: Una huella digital, anlisis de voz,
escner de retina o iris, etc.

Autenticacin (Cont.)
En adicin a estos, existen otras como ser:

Algo que usted hace, tanto como: firmar un
documento, escribir una frase (Teclados dinmicos),
etc. normalmente incluido dentro del Tipo 3,
Donde usted se encuentra, tanto como: una PC
especfica, una lnea telefnica determinada, etc.
normalmente incluido dentro del Tipo 2.

Autorizacin
Puede ser definido como una poltica que es usada para

permitir o denegar el acceso a un recurso.
Esto puede ser un componente avanzado como una
tarjeta inteligente, un dispositivo biomtrico o un
dispositivo de acceso a la red como un router, access
point wireless o access server.
Tambin puede ser: un servidor de archivos o recursos
que asigne determinados permisos como los sistemas
operativos de red (Windows 2000, Novell, etc).

10
Autorizacin (Cont.)
El hecho de que un sujeto haya sido identificado y

autenticado, no significa que haya sido autorizado.
Como ejemplo podemos citar que Un usuario puede
estar habilitado para imprimir un documento, pero no
para alterar la cola de impresin.

Auditora (Accounting)

11
Control de Acceso Hbrido
Combina el control de acceso centralizado con el

descentralizado.
El control centralizado se utiliza para acceder a
recursos crticos de la organizacin:
Logon a dominios
Acceso a sistema de archivo
Acceso a bases de datos, etc.
El control descentralizado lo emplean los usuarios, a
fin de determinar quines van a acceder a los archivos
individuales y directorios que ellos mismos crearon.

Access Control
Monitoreo, Auditora y
Logs
Monitoreo, Auditora y Logs
Monitoreo es el proceso por el cual las actividades no

autorizadas en un sistema, son detectadas.
El proceso de monitoreo es necesario para detectar
acciones maliciosas de sujetos, intentos de
intrusiones y fallas en el sistema.
La capacidad de loguear eventos se encuentra
incorporada en la mayora de los sistemas operativos
y aplicaciones.
Cuando exista la cantidad suficiente de logs
habilitados, ms informacin existir para poder
obtener detalles sobre la ocurrencia de un
determinado evento.

37
Access Control
Sistemas de Deteccin
de Intrusos
Sistemas de Deteccin de Intrusos (IDS)
Un IDS es un producto que automatiza la inspeccin

de los eventos de un sistema y la generacin de los
logs correspondientes, en tiempo real.
Son utilizados principalmente para detectar intentos
de intrusin.

Sistemas de Deteccin de Intrusos (IDS) (Cont.)
Los ataques reconocidos por un IDS pueden provenir

de conexiones externas, cdigos maliciosos, sujetos
en conexiones internas que intentan ejecutar acciones
no autorizadas, etc.
Un IDS puede detectar actividad sospechosa,
actuando como consecuencia:
Producir logs
Enviar alertas a los administradores
Bloquear el acceso a archivos de sistema importantes
Identificar el punto de origen de la intrusin
Reconfigurar routers y firewalls, etc.

38
IDS - Principales Funciones
Entre las funciones tpicas de un IDS, encontramos:

Monitoreo de eventos del sistema y comportamiento de
usuarios.
Registro de los eventos ms importantes.
Comprobacin continua del sistema.
Deteccin de ataques conocidos como no conocidos.
Operacin en tiempo real.
Generacin de alarmas.
Actualizacin frecuente de su base de datos.
Auto-configuracin de dispositivos de red.

IDS - Limitaciones
Entre las limitaciones y problemas ms importantes,

encontramos:
Falsos positivos (Falsas alarmas).
Falsos negativos (Ataques no detectados).
Necesidad de actualizar constantemente su base de
datos de patrones y firmas.
Escasa o nula defensa ante nuevos ataques o ataques
sofisticados.
Dificultad de operar en entornos conmutados.

IDS - Tipos de Anlisis
Los IDS trabajan basados en algunos de los

siguientes tipos de anlisis:
Anlisis de patrones
Anlisis estadstico
Anlisis de integridad

39
IDS - Su Relacin con el Firewall
El firewall es una herramienta de seguridad

informtica basada en la aplicacin de un sistema de
restricciones y excepciones.
Los sistemas de deteccin de intrusiones son
equivalentes a los equipos de video y a los sistemas
de sensores y alarmas contra ladrones.

IDS - Su Relacin con el Firewall (Cont.)

IDS - Acciones y Contramedidas
Un IDS frente a la deteccin de un evento positivo

podr:
Registrar la informacin en un servidor de logs.
Enviar alarmas a la consola de administracin.
Disparar alarmas va mail, pager, etc.
Realizar un DROP del paquete intrusivo.
Realizar un RESET de la conexin intrusiva.
Bloquear el trfico intruso interactuando con el Firewall
y/o router de borde.

40
IDS - Logs y Alarmas

IDS - Reset de Conexiones

IDS - Bloqueo de Trfico

41
Tipos de IDS
Segn su arquitectura, diseo y ubicacin, podemos

encontrar dos tipos de IDS a saber:
IDS de Red (NIDS)
IDS de Host (HIDS)

IDS de Red (NIDS)
Actan sobre un segmento de red capturando y

analizando paquetes, buscando patrones que
supongan algn tipo de ataque.
Constituyen dispositivos de red configurados en modo
promiscuo.
La implementacin del monitoreo basado en red o
NIDS, implica la localizacin de dispositivos de
sondeo o Sensores en determinados segmentos de la
red.

IDS de Red (NIDS) (Cont.)
Se encargarn de capturar y analizar el trfico en

busca de actividades maliciosas o no autorizadas en
tiempo real, y podrn tomar medidas preventivas
cuando sea necesario.
Los sensores deben ser desplegados en puntos
crticos de la red, de manera que los administradores
de seguridad puedan supervisar los eventos de toda
la red mientras se est desarrollando,
independientemente de la ubicacin del objetivo del
ataque.

42
IDS de Host (HIDS)
Implementado sobre host crticos y expuestos

(Servidor web, correo).
Permite la auditora de los sistemas de archivos,
recursos y logs.
Reporta los eventos a una consola central de
administracin.
Puede supervisar los procesos del sistema operativo y
proteger los recursos crticos.
Las implementaciones actuales requieren que se
instale un software agente en el host para supervisar
las actividades y realizar el anlisis correspondiente.

IDS - Herramientas Relacionadas
Existen herramientas que expanden las capacidades

de los IDS hacindolos ms eficientes contra falsos
positivos:
Honey Pots
Padded Cell
Vulnerability Assessment

Honey Pots
Estn formados por dispositivos individuales o redes

enteras que sirven de seuelos a los intrusos.

43
Padded Cell
Es similar a un Honey Pot, pero posibilita aislar al

intruso usando una manera distinta.
Cuando un IDS detecta a un intruso, ste es
automticamente transferido a la padded cell, la cual
tiene un aspecto similar al de la red actual.
Aqu el intruso no puede ejecutar actividades
maliciosas o acceder a informacin crtica.

Vulnerability Assessment
Es utilizado para comprobar la existencia de

vulnerabilidades conocidas en nuestro sistema.
Un Vulnerability Assessment suele consistir en la
ejecucin de una serie de herramientas automticas
conocidas como Scanners de Vulnerabilidades, las
cuales configuradas y ejecutadas del modo correcto,
permiten al profesional de seguridad, testear el
sistema o red objetivo en busca de vulnerabilidades,
debilidades o errores comunes de configuracin.

Vulnerability Assessment (Cont.)
La ejecucin peridica de este tipo de servicios, le

permite:
Alertar acerca de configuraciones incorrectas en sus
firewalls, host y dispositivos de borde.
Descubrir vulnerabilidades como resultado de cambios
en la configuracin.
Detectar la falta de parches y actualizaciones en los
sistemas de la compaa.
Localizar debilidades y vulnerabilidades conocidas
antes de que los atacantes lo hagan.

44
Vulnerability Assessment (Cont.)
A diferencia de los Penetration Test, la ejecucin

de un Vulnerability Assessment tiene un carcter
menos intrusivo.
Mientras que el primero intenta la explotacin real de
la debilidad o vulnerabilidad encontrada, a fin de
confirmar su existencia, el segundo apunta
especficamente a identificar la existencia de
vulnerabilidades o debilidades conocidas.

Access Control
Amenazas - Ataques
Ataques
Entre los mtodos de ataque ms importantes,

encontramos:
Password Crackers (Fuerza Bruta y Diccionario)
Penetration Testing
Denegacin de Servicio (DoS)
Spoofing
Man-in-the-Middle
Sniffers

45
Access Control
Referencias y Lecturas
Complementarias
Referencias y Lecturas Complementarias
CISSP All-in-One Exam Guide, Third Edition (All-in-One)

By Shon Harris (McGraw-Hill Osborne Media) ISBN: 0072257121
Official (ISC)2 Guide to the CISSP Exam
By Susan Hansche (AUERBACH) ISBN: 084931707X
The CISSP Prep Guide: Gold Edition
By Ronald L. Krutz, Russell Dean Vines (Wiley) ISBN: 047126802X
CISSP Certification Training Guide
By Roberta Bragg (Que) ISBN: 078972801X
CCCure.Org WebSite: http://www.cccure.org
By Clement Dupuis
Advanced CISSP Prep Guide: Exam Q&A
By Ronald L. Krutz, Russell Dean Vines (Wiley) ISBN: 0471236632
Information Security Management Handbook, Fifth Edition
By Harold F. Tipton, Micki Krause (Que) ISBN: 0849319978
CISSP: Certified Information Systems Security Profesional Study Guide,
Third Edition
By James M. Stewart, Ed Tittel, Mike Chapple (Sybex) ISBN: 0782144438

Access Control
Preguntas?
46

CISSP - 05 - Access Control v3

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

CISSP - 05 - Access Control v3

Hochgeladen von

Copyright:

Verfügbare Formate

CISSP Security Training Access Control Systems and Methodology

CISSP Security Training - Access Control 2

La transferencia de informacin desde un objeto a un

CISSP Security Training - Access Control 4

Aspectos Generales (Cont.)

Los objetos son entidades pasivas, que pueden estar

CISSP Security Training - Access Control 5

Aspectos Generales (Cont.)

El sujeto es siempre la entidad que recibe informacin

CISSP Security Training - Access Control 6

El Control de Acceso se implementa para asegurar:

CISSP Security Training - Access Control 7

Es la necesidad de que la informacin slo sea

CISSP Security Training - Access Control 8

Es la caracterstica que hace que el contenido de la

CISSP Security Training - Access Control 9

Es la capacidad que permite que la informacin se

CISSP Security Training - Access Control 10

Tipos de Control de Acceso

Los controles de acceso pueden ser divididos en tres

Tambin pueden encontrarse los siguientes:

CISSP Security Training - Access Control 12

Control de Acceso Preventivo

Es implementado para detener una actividad no

CISSP Security Training - Access Control 13

Control de Acceso Detectivo

Es implementado para descubrir una actividad no

CISSP Security Training - Access Control 14

Control de Acceso Correctivo

Es implementado para restaurar un sistema a su

CISSP Security Training - Access Control 15

Control de Acceso de Disuasin

Son controles usados para desalentar violaciones de

CISSP Security Training - Access Control 16

Control de Acceso de Recuperacin

Son controles usados para restaurar recursos y

CISSP Security Training - Access Control 17

Control de Acceso de Compensacin

Es implementado para brindar alternativas a otros

CISSP Security Training - Access Control 18

Implementacin de Control de Acceso

La implementacin de un Control de Acceso puede

CISSP Security Training - Access Control 20

Control de Acceso Administrativo

Comprenden las normas y procedimientos definidos

CISSP Security Training - Access Control 21

Control de Acceso Lgico/Tcnico

Comprenden los mecanismos de hardware o software

CISSP Security Training - Access Control 22

Control de Acceso Fsico

Comprenden la distribucin de barreras fsicas a fin de

CISSP Security Training - Access Control 23

Pasos para Acceder a un Objeto

El control de acceso gobierna el acceso de sujetos a

CISSP Security Training - Access Control 25

Es el proceso por el cual un sujeto proporciona una

CISSP Security Training - Access Control 26

Es el proceso de verificar que una identidad

CISSP Security Training - Access Control 27

Los tipos de informacin ms comunes que pueden ser

Tipo 1: Un factor de autenticacin por Tipo 1 es Algo que

Tipo 2: Un factor de autenticacin por Tipo 2 es Algo que

Tipo 3: Un factor de autenticacin por Tipo 3 es Algo que

CISSP Security Training - Access Control 28