CISSP Security Training Access Control Systems and Methodology

Access Control

Agenda

Aspectos generales

Tipos de control de acceso

Implementacin de control de acceso

Identificacin, autenticacin, autorizacin y auditora

Tcnicas de identificacin y autenticacin

Passwords

Sistemas Biomtricos

Tokens / Tickets / Single Sign On

Kerberos

Modelos de control de acceso

Administracin de control de acceso

Monitoreo, Auditora y Logs

Sistemas de Deteccin de Intrusos (IDS)

Mtodos de ataque

Referencias y Lecturas Complementarias

Preguntas

CISSP Security Training - Access Control 2

Copyright 2004-2008 SICinformtica S.R.L.

Access Control

Aspectos Generales

1
 CISSP Security Training Access Control Systems and Methodology

Aspectos Generales

La transferencia de informacin desde un objeto a un

sujeto es llamada acceso.

Los sujetos son entidades activas, que pueden estar
representados por:
 Usuarios
 Programas
 Procesos
 Computadoras, etc.

CISSP Security Training - Access Control 4

Copyright 2004-2008 SICinformtica S.R.L.

Aspectos Generales (Cont.)

Los objetos son entidades pasivas, que pueden estar

representados por:
 Archivos
 Bases de datos
 Programas
 Procesos
 Impresoras
 Medios de almacenamientos, etc.

CISSP Security Training - Access Control 5

Copyright 2004-2008 SICinformtica S.R.L.

Aspectos Generales (Cont.)

El sujeto es siempre la entidad que recibe informacin

acerca del objeto, o datos que provienen de ste.

El sujeto es tambin la entidad que altera o modifica la
informacin del objeto, o bien, los datos almacenados
dentro de l.

CISSP Security Training - Access Control 6

Copyright 2004-2008 SICinformtica S.R.L.

2
 CISSP Security Training Access Control Systems and Methodology

CIA Triad

El Control de Acceso se implementa para asegurar:

 Confidencialidad
 Integridad
 Disponibilidad

CISSP Security Training - Access Control 7

Copyright 2004-2008 SICinformtica S.R.L.

Confidencialidad

Es la necesidad de que la informacin slo sea

conocida por personas autorizadas.

CISSP Security Training - Access Control 8

Copyright 2004-2008 SICinformtica S.R.L.

Integridad

Es la caracterstica que hace que el contenido de la

informacin permanezca inalterado, a menos que sea
modificado por personal autorizado

CISSP Security Training - Access Control 9

Copyright 2004-2008 SICinformtica S.R.L.

3
 CISSP Security Training Access Control Systems and Methodology

Disponibilidad

Es la capacidad que permite que la informacin se

encuentre siempre disponible, para que pueda ser
procesada por el personal autorizado.

CISSP Security Training - Access Control 10

Copyright 2004-2008 SICinformtica S.R.L.

Access Control

Tipos de Control de
Acceso

Tipos de Control de Acceso

Los controles de acceso pueden ser divididos en tres

tipos principales:
 Control de Acceso Preventivo
 Control de Acceso Detectivo
 Control de Acceso Correctivo

Tambin pueden encontrarse los siguientes:

 Control de Acceso de Disuasin
 Control de Acceso de Recuperacin
 Control de Acceso de Compensacin

CISSP Security Training - Access Control 12

Copyright 2004-2008 SICinformtica S.R.L.

4
 CISSP Security Training Access Control Systems and Methodology

Control de Acceso Preventivo

Es implementado para detener una actividad no

autorizada, antes que la misma ocurra.

Algunos ejemplos son:
 Polticas de seguridad
 Capacitacin en materia de seguridad
 Aplicaciones antivirus
 Firewall
 Encripcin, etc.

CISSP Security Training - Access Control 13

Copyright 2004-2008 SICinformtica S.R.L.

Control de Acceso Detectivo

Es implementado para descubrir una actividad no

autorizada.

Algunos ejemplos son:
 Guardias de seguridad
 Investigacin de incidentes
 Sistemas de deteccin, etc.

CISSP Security Training - Access Control 14

Copyright 2004-2008 SICinformtica S.R.L.

Control de Acceso Correctivo

Es implementado para restaurar un sistema a su

funcionamiento normal, luego de que una actividad no
autorizada ha ocurrido.

Algunos ejemplos son:
 Polticas de seguridad
 Manuales
 Plan de Contingencia, etc.

CISSP Security Training - Access Control 15

Copyright 2004-2008 SICinformtica S.R.L.

5
 CISSP Security Training Access Control Systems and Methodology

Control de Acceso de Disuasin

Son controles usados para desalentar violaciones de

seguridad.

Algunos ejemplos son:
 Cerraduras
 Rejas
 Guardias de seguridad
 Circuito cerrado de TV
 Separacin de funciones, etc.

CISSP Security Training - Access Control 16

Copyright 2004-2008 SICinformtica S.R.L.

Control de Acceso de Recuperacin

Son controles usados para restaurar recursos y

capacidades.

Algunos ejemplos son:
 Copias de seguridad
 Software antivirus, etc.

CISSP Security Training - Access Control 17

Copyright 2004-2008 SICinformtica S.R.L.

Control de Acceso de Compensacin

Es implementado para brindar alternativas a otros

tipos de control.

Algunos ejemplos son:
 Monitoreo y supervisin
 Procedimientos de personal, etc.

CISSP Security Training - Access Control 18

Copyright 2004-2008 SICinformtica S.R.L.

6
 CISSP Security Training Access Control Systems and Methodology

Access Control

Implementacin del
Control de Acceso

Implementacin de Control de Acceso

La implementacin de un Control de Acceso puede

ser categorizada en:

Control de Acceso Administrativo

Control de Acceso Lgico / Tcnico

Control de Acceso Fsico

CISSP Security Training - Access Control 20

Copyright 2004-2008 SICinformtica S.R.L.

Control de Acceso Administrativo

Comprenden las normas y procedimientos definidos

en la Poltica de Seguridad de la Organizacin, a fin
de implementar y hacer cumplir las medidas de control
de acceso.

Algunos ejemplos son:
 Polticas
 Procedimientos
 Revisiones
 Clasificacin de los datos
 Capacitacin en seguridad, etc.

CISSP Security Training - Access Control 21

Copyright 2004-2008 SICinformtica S.R.L.

7
 CISSP Security Training Access Control Systems and Methodology

Control de Acceso Lgico/Tcnico

Comprenden los mecanismos de hardware o software

usados para gestionar el acceso a recursos y
sistemas de manera de brindar proteccin a los
mismos.

Algunos ejemplos son:
 Passwords
 Encripcin
 Smart Cards
 Sistemas biomtricos
 ACLs, etc.

CISSP Security Training - Access Control 22

Copyright 2004-2008 SICinformtica S.R.L.

Control de Acceso Fsico

Comprenden la distribucin de barreras fsicas a fin de

prevenir el contacto directo con los sistemas.

Algunos ejemplos son:
 Detectores de movimientos
 Sensores
 Luces
 Cerraduras
 Perros
 Cmaras, etc.

CISSP Security Training - Access Control 23

Copyright 2004-2008 SICinformtica S.R.L.

Access Control

Identificacin, Autenticacin,
Autorizacin y Accounting

8
 CISSP Security Training Access Control Systems and Methodology

Pasos para Acceder a un Objeto

El control de acceso gobierna el acceso de sujetos a

objetos.

Existen varios pasos para poder acceder a un objeto:
 Identificacin
 Autenticacin
 Autorizacin
 Auditora / Responsabilidad (Accouting)

CISSP Security Training - Access Control 25

Copyright 2004-2008 SICinformtica S.R.L.

Identificacin

Es el proceso por el cual un sujeto proporciona una

identidad y una cuenta es iniciada.

Un usuario puede utilizar como identidad:
 Username
 Logon ID
 PIN, etc.

CISSP Security Training - Access Control 26

Copyright 2004-2008 SICinformtica S.R.L.

Autenticacin

Es el proceso de verificar que una identidad

proporcionada es vlida.

La autenticacin requiere que el sujeto proporcione
informacin adicional que debe corresponder
exactamente con la identidad indicada.

El mtodo ms comn, es el empleo de Passwords.

CISSP Security Training - Access Control 27

Copyright 2004-2008 SICinformtica S.R.L.

9
 CISSP Security Training Access Control Systems and Methodology

Autenticacin (Cont.)

Los tipos de informacin ms comunes que pueden ser

empleados son:

Tipo 1: Un factor de autenticacin por Tipo 1 es Algo que

usted conozca, como ser: una password, un PIN, etc.

Tipo 2: Un factor de autenticacin por Tipo 2 es Algo que

usted tiene, como ser: una smart card, un token, etc.

Tipo 3: Un factor de autenticacin por Tipo 3 es Algo que

usted es, como ser: Una huella digital, anlisis de voz,
escner de retina o iris, etc.

CISSP Security Training - Access Control 28

Copyright 2004-2008 SICinformtica S.R.L.

Autenticacin (Cont.)

En adicin a estos, existen otras como ser:

 Algo que usted hace, tanto como: firmar un
documento, escribir una frase (Teclados dinmicos),
etc. normalmente incluido dentro del Tipo 3,
 Donde usted se encuentra, tanto como: una PC
especfica, una lnea telefnica determinada, etc.
normalmente incluido dentro del Tipo 2.

CISSP Security Training - Access Control 29

Copyright 2004-2008 SICinformtica S.R.L.

Autorizacin

Puede ser definido como una poltica que es usada para

permitir o denegar el acceso a un recurso.

Esto puede ser un componente avanzado como una
tarjeta inteligente, un dispositivo biomtrico o un
dispositivo de acceso a la red como un router, access
point wireless o access server.

Tambin puede ser: un servidor de archivos o recursos
que asigne determinados permisos como los sistemas
operativos de red (Windows 2000, Novell, etc).

CISSP Security Training - Access Control 30

Copyright 2004-2008 SICinformtica S.R.L.

10
 CISSP Security Training Access Control Systems and Methodology

Autorizacin (Cont.)

El hecho de que un sujeto haya sido identificado y

autenticado, no significa que haya sido autorizado.

Como ejemplo podemos citar que Un usuario puede
estar habilitado para imprimir un documento, pero no
para alterar la cola de impresin.

CISSP Security Training - Access Control 31

Copyright 2004-2008 SICinformtica S.R.L.

Auditora (Accounting)

CISSP Security Training - Access Control 32

Copyright 2004-2008 SICinformtica S.R.L.

11
 CISSP Security Training Access Control Systems and Methodology

Control de Acceso Hbrido

Combina el control de acceso centralizado con el

descentralizado.

El control centralizado se utiliza para acceder a
recursos crticos de la organizacin:
 Logon a dominios
 Acceso a sistema de archivo
 Acceso a bases de datos, etc.

El control descentralizado lo emplean los usuarios, a
fin de determinar quines van a acceder a los archivos
individuales y directorios que ellos mismos crearon.

CISSP Security Training - Access Control 109

Copyright 2004-2008 SICinformtica S.R.L.

Access Control

Monitoreo, Auditora y
Logs

Monitoreo, Auditora y Logs

Monitoreo es el proceso por el cual las actividades no

autorizadas en un sistema, son detectadas.

El proceso de monitoreo es necesario para detectar
acciones maliciosas de sujetos, intentos de
intrusiones y fallas en el sistema.

La capacidad de loguear eventos se encuentra
incorporada en la mayora de los sistemas operativos
y aplicaciones.

Cuando exista la cantidad suficiente de logs
habilitados, ms informacin existir para poder
obtener detalles sobre la ocurrencia de un
determinado evento.

CISSP Security Training - Access Control 111

Copyright 2004-2008 SICinformtica S.R.L.

37
 CISSP Security Training Access Control Systems and Methodology

Access Control

Sistemas de Deteccin
de Intrusos

Sistemas de Deteccin de Intrusos (IDS)

Un IDS es un producto que automatiza la inspeccin

de los eventos de un sistema y la generacin de los
logs correspondientes, en tiempo real.

Son utilizados principalmente para detectar intentos
de intrusin.

CISSP Security Training - Access Control 113

Copyright 2004-2008 SICinformtica S.R.L.

Sistemas de Deteccin de Intrusos (IDS) (Cont.)

Los ataques reconocidos por un IDS pueden provenir

de conexiones externas, cdigos maliciosos, sujetos
en conexiones internas que intentan ejecutar acciones
no autorizadas, etc.

Un IDS puede detectar actividad sospechosa,
actuando como consecuencia:
 Producir logs
 Enviar alertas a los administradores
 Bloquear el acceso a archivos de sistema importantes
 Identificar el punto de origen de la intrusin
 Reconfigurar routers y firewalls, etc.

CISSP Security Training - Access Control 114

Copyright 2004-2008 SICinformtica S.R.L.

38
 CISSP Security Training Access Control Systems and Methodology

IDS - Principales Funciones

Entre las funciones tpicas de un IDS, encontramos:

 Monitoreo de eventos del sistema y comportamiento de
usuarios.
 Registro de los eventos ms importantes.
 Comprobacin continua del sistema.
 Deteccin de ataques conocidos como no conocidos.
 Operacin en tiempo real.
 Generacin de alarmas.
 Actualizacin frecuente de su base de datos.
 Auto-configuracin de dispositivos de red.

CISSP Security Training - Access Control 115

Copyright 2004-2008 SICinformtica S.R.L.

IDS - Limitaciones

Entre las limitaciones y problemas ms importantes,

encontramos:
 Falsos positivos (Falsas alarmas).
 Falsos negativos (Ataques no detectados).
 Necesidad de actualizar constantemente su base de
datos de patrones y firmas.
 Escasa o nula defensa ante nuevos ataques o ataques
sofisticados.
 Dificultad de operar en entornos conmutados.

CISSP Security Training - Access Control 116

Copyright 2004-2008 SICinformtica S.R.L.

IDS - Tipos de Anlisis

Los IDS trabajan basados en algunos de los

siguientes tipos de anlisis:
 Anlisis de patrones
 Anlisis estadstico
 Anlisis de integridad

CISSP Security Training - Access Control 117

Copyright 2004-2008 SICinformtica S.R.L.

39
 CISSP Security Training Access Control Systems and Methodology

IDS - Su Relacin con el Firewall

El firewall es una herramienta de seguridad

informtica basada en la aplicacin de un sistema de
restricciones y excepciones.

Los sistemas de deteccin de intrusiones son
equivalentes a los equipos de video y a los sistemas
de sensores y alarmas contra ladrones.

CISSP Security Training - Access Control 118

Copyright 2004-2008 SICinformtica S.R.L.

IDS - Su Relacin con el Firewall (Cont.)

CISSP Security Training - Access Control 119

Copyright 2004-2008 SICinformtica S.R.L.

IDS - Acciones y Contramedidas

Un IDS frente a la deteccin de un evento positivo

podr:
 Registrar la informacin en un servidor de logs.
 Enviar alarmas a la consola de administracin.
 Disparar alarmas va mail, pager, etc.
 Realizar un DROP del paquete intrusivo.
 Realizar un RESET de la conexin intrusiva.
 Bloquear el trfico intruso interactuando con el Firewall
y/o router de borde.

CISSP Security Training - Access Control 120

Copyright 2004-2008 SICinformtica S.R.L.

40
 CISSP Security Training Access Control Systems and Methodology

IDS - Logs y Alarmas

CISSP Security Training - Access Control 121

Copyright 2004-2008 SICinformtica S.R.L.

IDS - Reset de Conexiones

CISSP Security Training - Access Control 122

Copyright 2004-2008 SICinformtica S.R.L.

IDS - Bloqueo de Trfico

CISSP Security Training - Access Control 123

Copyright 2004-2008 SICinformtica S.R.L.

41
 CISSP Security Training Access Control Systems and Methodology

Tipos de IDS

Segn su arquitectura, diseo y ubicacin, podemos

encontrar dos tipos de IDS a saber:
 IDS de Red (NIDS)
 IDS de Host (HIDS)

CISSP Security Training - Access Control 124

Copyright 2004-2008 SICinformtica S.R.L.

IDS de Red (NIDS)

Actan sobre un segmento de red capturando y

analizando paquetes, buscando patrones que
supongan algn tipo de ataque.

Constituyen dispositivos de red configurados en modo
promiscuo.

La implementacin del monitoreo basado en red o
NIDS, implica la localizacin de dispositivos de
sondeo o Sensores en determinados segmentos de la
red.

CISSP Security Training - Access Control 125

Copyright 2004-2008 SICinformtica S.R.L.

IDS de Red (NIDS) (Cont.)

Se encargarn de capturar y analizar el trfico en

busca de actividades maliciosas o no autorizadas en
tiempo real, y podrn tomar medidas preventivas
cuando sea necesario.

Los sensores deben ser desplegados en puntos
crticos de la red, de manera que los administradores
de seguridad puedan supervisar los eventos de toda
la red mientras se est desarrollando,
independientemente de la ubicacin del objetivo del
ataque.

CISSP Security Training - Access Control 126

Copyright 2004-2008 SICinformtica S.R.L.

42
 CISSP Security Training Access Control Systems and Methodology

IDS de Host (HIDS)

Implementado sobre host crticos y expuestos

(Servidor web, correo).

Permite la auditora de los sistemas de archivos,
recursos y logs.

Reporta los eventos a una consola central de
administracin.

Puede supervisar los procesos del sistema operativo y
proteger los recursos crticos.

Las implementaciones actuales requieren que se
instale un software agente en el host para supervisar
las actividades y realizar el anlisis correspondiente.

CISSP Security Training - Access Control 127

Copyright 2004-2008 SICinformtica S.R.L.

IDS - Herramientas Relacionadas

Existen herramientas que expanden las capacidades

de los IDS hacindolos ms eficientes contra falsos
positivos:
 Honey Pots
 Padded Cell
 Vulnerability Assessment

CISSP Security Training - Access Control 128

Copyright 2004-2008 SICinformtica S.R.L.

Honey Pots

Estn formados por dispositivos individuales o redes

enteras que sirven de seuelos a los intrusos.

CISSP Security Training - Access Control 129

Copyright 2004-2008 SICinformtica S.R.L.

43
 CISSP Security Training Access Control Systems and Methodology

Padded Cell

Es similar a un Honey Pot, pero posibilita aislar al

intruso usando una manera distinta.

Cuando un IDS detecta a un intruso, ste es
automticamente transferido a la padded cell, la cual
tiene un aspecto similar al de la red actual.

Aqu el intruso no puede ejecutar actividades
maliciosas o acceder a informacin crtica.

CISSP Security Training - Access Control 130

Copyright 2004-2008 SICinformtica S.R.L.

Vulnerability Assessment

Es utilizado para comprobar la existencia de

vulnerabilidades conocidas en nuestro sistema.

Un Vulnerability Assessment suele consistir en la
ejecucin de una serie de herramientas automticas
conocidas como Scanners de Vulnerabilidades, las
cuales configuradas y ejecutadas del modo correcto,
permiten al profesional de seguridad, testear el
sistema o red objetivo en busca de vulnerabilidades,
debilidades o errores comunes de configuracin.

CISSP Security Training - Access Control 131

Copyright 2004-2008 SICinformtica S.R.L.

Vulnerability Assessment (Cont.)

La ejecucin peridica de este tipo de servicios, le

permite:
 Alertar acerca de configuraciones incorrectas en sus
firewalls, host y dispositivos de borde.
 Descubrir vulnerabilidades como resultado de cambios
en la configuracin.
 Detectar la falta de parches y actualizaciones en los
sistemas de la compaa.
 Localizar debilidades y vulnerabilidades conocidas
antes de que los atacantes lo hagan.

CISSP Security Training - Access Control 132

Copyright 2004-2008 SICinformtica S.R.L.

44
 CISSP Security Training Access Control Systems and Methodology

Vulnerability Assessment (Cont.)

A diferencia de los Penetration Test, la ejecucin

de un Vulnerability Assessment tiene un carcter
menos intrusivo.

Mientras que el primero intenta la explotacin real de
la debilidad o vulnerabilidad encontrada, a fin de
confirmar su existencia, el segundo apunta
especficamente a identificar la existencia de
vulnerabilidades o debilidades conocidas.

CISSP Security Training - Access Control 133

Copyright 2004-2008 SICinformtica S.R.L.

Access Control

Amenazas - Ataques

Ataques

Entre los mtodos de ataque ms importantes,

encontramos:
 Password Crackers (Fuerza Bruta y Diccionario)
 Penetration Testing
 Denegacin de Servicio (DoS)
 Spoofing
 Man-in-the-Middle
 Sniffers

CISSP Security Training - Access Control 135

Copyright 2004-2008 SICinformtica S.R.L.

45
 CISSP Security Training Access Control Systems and Methodology

Access Control

Referencias y Lecturas
Complementarias

Referencias y Lecturas Complementarias

CISSP All-in-One Exam Guide, Third Edition (All-in-One)

By Shon Harris (McGraw-Hill Osborne Media) ISBN: 0072257121

Official (ISC)2 Guide to the CISSP Exam
By Susan Hansche (AUERBACH) ISBN: 084931707X

The CISSP Prep Guide: Gold Edition
By Ronald L. Krutz, Russell Dean Vines (Wiley) ISBN: 047126802X

CISSP Certification Training Guide
By Roberta Bragg (Que) ISBN: 078972801X

CCCure.Org WebSite: http://www.cccure.org
By Clement Dupuis

Advanced CISSP Prep Guide: Exam Q&A
By Ronald L. Krutz, Russell Dean Vines (Wiley) ISBN: 0471236632

Information Security Management Handbook, Fifth Edition
By Harold F. Tipton, Micki Krause (Que) ISBN: 0849319978

CISSP: Certified Information Systems Security Profesional Study Guide,
Third Edition
By James M. Stewart, Ed Tittel, Mike Chapple (Sybex) ISBN: 0782144438

CISSP Security Training - Access Control 137

Copyright 2004-2008 SICinformtica S.R.L.

Access Control

Preguntas?

46