Diferència entre revisions de la pàgina «UF1-NF1. Control d'accés»
(→Auditoria i Registres (Log)) |
(→Exemple Autenticació. Contrasenyes) |
||
| (Hi ha 9 revisions intermèdies del mateix usuari que no es mostren) | |||
| Línia 27: | Línia 27: | ||
En certs casos els permisos es poden associar a ubicacions (localització) físiques (davant un cert terminal només) o lògiques (IP o xarxa concreta), o també a horaris. | En certs casos els permisos es poden associar a ubicacions (localització) físiques (davant un cert terminal només) o lògiques (IP o xarxa concreta), o també a horaris. | ||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
=== Exemple Autenticació. Contrasenyes === | === Exemple Autenticació. Contrasenyes === | ||
| Línia 82: | Línia 63: | ||
* No escriure en cap paper la contrasenya per si de cas s’oblida. | * No escriure en cap paper la contrasenya per si de cas s’oblida. | ||
* Canviar la contrasenya cada sis mesos com a mínim. | * Canviar la contrasenya cada sis mesos com a mínim. | ||
| + | |||
| + | |||
| + | Comprovació fortalesa contrasenyes: http://www.passwordmeter.com/ | ||
| Línia 87: | Línia 71: | ||
* Tècniques d'enginyeria social en els fraus informàtics com el Phishing on el propi usuari la revela. | * Tècniques d'enginyeria social en els fraus informàtics com el Phishing on el propi usuari la revela. | ||
* Programari de força bruta, per exemple '''john de ripper''' (http://www.openwall.com/john/). | * Programari de força bruta, per exemple '''john de ripper''' (http://www.openwall.com/john/). | ||
| − | * Programari que permet modificar-la, per exemple '''CiaCommander''' [[Media: CiaCommander.iso]] | + | * Programari que permet modificar-la, per exemple |
| + | ** System rescue http://www.sysresccd.org/SystemRescueCd_Homepage | ||
| + | ** '''CiaCommander''' [[Media: CiaCommander.iso]] | ||
| + | |||
| + | |||
| + | Estimació temporal: https://www.grc.com/haystack.htm | ||
| + | |||
| + | === Gestió usuaris i grups a Unix === | ||
| + | |||
| + | Fitxer que conté informació dels usuaris | ||
| + | /etc/passwd | ||
| + | |||
| + | Fitxer que conté les claus (codificades) dels usuaris | ||
| + | /etc/shadow | ||
| + | |||
| + | Fitxer amb informació dels grups. Per defecte és obligatori un grup principal. | ||
| + | /etc/group | ||
| + | |||
| + | |||
| + | Comandes de gestió d'usuaris i grups | ||
| + | |||
| + | deluser, delgroup vs userdel, groupdel | ||
| + | |||
| + | adduser, addgroup vs useradd, groupadd and usermod | ||
| + | |||
| + | |||
| + | Per exemple | ||
| + | '''adduser, addgroup''' : 5 modes, afegir usuari normal (uid > 1000), de sistema (uid < 1000, apps., serveis, dimonis), afegir grup normal o de sistema, afegir usuari existent a un grup existent | ||
| + | |||
| + | |||
| + | Altres comandes | ||
| + | |||
| + | $password usuari | ||
| + | |||
| + | $id usuari | ||
| + | |||
| + | $groups usuari | ||
| + | |||
| + | $finger usuari | ||
| + | |||
| + | === Tipus de Control d'accés === | ||
| + | |||
| + | |||
| + | DAC - Discretionary access control. Permet establir els permisos a objectes del sistema a usuaris o grups, i els aquests en certes circumstàncies poden transferir els permisos a altres. Estableix un nivell de seguretat a molt baix nivell. S'implementa amb ACL's, llistes de control d'accés. Exemples són l'estructura de permisos de fitxers dels Sistemes Operatius. | ||
| + | |||
| + | http://en.wikipedia.org/wiki/DACL | ||
| + | |||
| + | MAC - Mandatory access control. És un control més sofisticat que el DAC, funciona a un nivell més alt (operacions), la validació és centralitzada i pot funcionar amb múltiples nivells i establir diferents polítiques en funció del context (nivell). En principi permet a l'administrador definir polítiques globals del Sistema (no concretes com a DAC) que els usuaris no poden modificar. Es pot pensar per exemple en la gestió de polítiques de seguretat dels Sistemes Windows però aplicat a l'accés a objectes. | ||
| + | |||
| + | |||
| + | http://en.wikipedia.org/wiki/Mandatory_access_control | ||
| + | |||
| + | |||
| + | RBAC - Role-based access control | ||
| + | |||
| + | |||
| + | http://en.wikipedia.org/wiki/Role-based_access_control | ||
| + | |||
| + | |||
=== Exemple Autorització. Llistes de control d'accés === | === Exemple Autorització. Llistes de control d'accés === | ||
| Línia 172: | Línia 214: | ||
Els arxius que es creen amb el propietari l'usuari actual i el grup el grup principal de l'usuari. Només l’administrador (root) o el propietari poden modificar els permisos d’un objecte. | Els arxius que es creen amb el propietari l'usuari actual i el grup el grup principal de l'usuari. Només l’administrador (root) o el propietari poden modificar els permisos d’un objecte. | ||
| + | |||
| + | ==== UNIX. Llistes d'accés i quotes ==== | ||
Existeixen implementacions que permeten afegir ACL's per gestionar l'accés a objectes del sistema de fitxers, de manera que cada objecte pot tenir múltiples permisos per usuaris o grups. | Existeixen implementacions que permeten afegir ACL's per gestionar l'accés a objectes del sistema de fitxers, de manera que cada objecte pot tenir múltiples permisos per usuaris o grups. | ||
| + | |||
| + | http://www.iesrioarba.es/index.php?option=com_wrapper&view=wrapper&Itemid=182 | ||
| + | |||
| + | http://tuxedlinux.wordpress.com/2008/01/27/permisos-con-acl/ | ||
http://acl.bestbits.at/ | http://acl.bestbits.at/ | ||
http://www.rsbac.org/why | http://www.rsbac.org/why | ||
| − | |||
| − | |||
| − | |||
=== Auditoria i Registres (Log) === | === Auditoria i Registres (Log) === | ||
| Línia 212: | Línia 257: | ||
Per defecte Linux registra gran quantitat d'informació de sistema i d'aplicacions, aquests registres es troben generalment a | Per defecte Linux registra gran quantitat d'informació de sistema i d'aplicacions, aquests registres es troben generalment a | ||
| + | |||
| + | https://help.ubuntu.com/community/LinuxLogFiles | ||
<pre> | <pre> | ||
| Línia 221: | Línia 268: | ||
/var/log/auth.log -> Missatges d'autenticació, inicis de sessió, execucions de sudo | /var/log/auth.log -> Missatges d'autenticació, inicis de sessió, execucions de sudo | ||
/var/log/user.log -> Missatges d'usuari | /var/log/user.log -> Missatges d'usuari | ||
| + | /var/log/wtmp -> No és editable | ||
| + | </pre> | ||
| + | |||
| + | Algunes comandes | ||
| + | <pre> | ||
| + | $ finger | ||
| + | $ last | ||
| + | $ lastlog | ||
</pre> | </pre> | ||
| Línia 256: | Línia 311: | ||
| − | Existeixen altres eines per exemple que permeten monitorar el sistema de fitxers potser la més coneguda inotify (inotify-tools), però d'altres com FAM (File Alteration Monitor), Gamin o auditctl. | + | Existeixen altres eines per exemple que permeten monitorar el sistema de fitxers potser la més coneguda inotify (inotify-tools, a molt baix nivell, API per programar les eines de monitoreig), però d'altres com FAM (File Alteration Monitor), Gamin o auditctl. Utilitats com fsnipe, fileschanged. |
==== Windows ==== | ==== Windows ==== | ||
Revisió de 17:35, 8 gen 2015
tornar M11 - Seguretat i alta_disponibilitat
Contingut
Control d'accés (Lògic)
El control d’accés lògic als sistemes d'informació inclou dues grans funcionalitats
- Identificació i autenticació
- Autorització
La identificació i autenticació consisteix en verificar la identitat d’un usuari (o entitat del sistema). La identificació permet conèixer qui és (per exemple un nom d'usuari) i la autenticació confirma que realment és qui diu (per exemple una contrasenya).
Aquestes dues poden estar separades o unificades en una sola comprovació. Els tipus d'autenticació són:
- Per coneixement (Contrasenya).
- Per possessió (Targeta).
- Per característiques físiques (Lectors biomètrics).
- Combinació de les anteriors
L' autorització per altre banda és la concessió d’un dret o d’un permís a un usuari (o entitat del sistema) per accedir a un recurs. L’usuari a qui se li concedeix l'autorització només podrà realitzar les accions o accedir als recursos per als quals té permís.
S'entén per permís quelcom que es pot fer amb un determinat recurs.
Per facilitar la gestió dels administradors, a vegades els permisos s'agrupen en rols (Conjunt de permisos), i els usuaris en grups (Conjunt d'usuaris amb característiques semblants).
En certs casos els permisos es poden associar a ubicacions (localització) físiques (davant un cert terminal només) o lògiques (IP o xarxa concreta), o també a horaris.
Exemple Autenticació. Contrasenyes
Les contrasenyes són un dels principals mecanismes per evitar accessos no autoritzats. Es tracta d'un conjunt de caràcters coneguts només per l'usuari (secrets).
Les contrasenyes d'un sistema es regulen a través de la política de contrasenyes que especifica normes respecte:
- El contingut i el format
- La protecció
- La freqüència de renovació
- El procediment per a canviar-la
Contrasenyes febles:
- Curtes (menys de 8 caràcters).
- Dades personals.
- Patrons (1234).
- És una paraula de diccionari.
Contrasenyes robustes
- No és feble i
- Conté majúscules i minúscules.
- Barreja números i lletres
Les normes bàsiques de protecció de les contrasenyes són:
- No escriure mai la contrasenya en un correu electrònic.
- No dir la contrasenya per telèfon a ningú.
- No dir la contrasenya als companys d’empresa ni que siguin superiors directes.
- No parlar sobre les contrasenyes davant d’altres persones.
- No posar pistes de la contrasenya per fer-la més fàcil de recordar i alhora d’esbrinar.
- No escriure mai la contrasenya en formularis ni que siguin formularis del departament de seguretat.
- No dir la contrasenya a amics ni familiars.
- No dir a ningú la contrasenya quan es marxa de vacances.
- No escriure en cap paper la contrasenya per si de cas s’oblida.
- Canviar la contrasenya cada sis mesos com a mínim.
Comprovació fortalesa contrasenyes: http://www.passwordmeter.com/
Les contrasenyes poden ser atacades de múltiples maneres per exemple
- Tècniques d'enginyeria social en els fraus informàtics com el Phishing on el propi usuari la revela.
- Programari de força bruta, per exemple john de ripper (http://www.openwall.com/john/).
- Programari que permet modificar-la, per exemple
- System rescue http://www.sysresccd.org/SystemRescueCd_Homepage
- CiaCommander Media: CiaCommander.iso
Estimació temporal: https://www.grc.com/haystack.htm
Gestió usuaris i grups a Unix
Fitxer que conté informació dels usuaris /etc/passwd
Fitxer que conté les claus (codificades) dels usuaris /etc/shadow
Fitxer amb informació dels grups. Per defecte és obligatori un grup principal. /etc/group
Comandes de gestió d'usuaris i grups
deluser, delgroup vs userdel, groupdel
adduser, addgroup vs useradd, groupadd and usermod
Per exemple
adduser, addgroup : 5 modes, afegir usuari normal (uid > 1000), de sistema (uid < 1000, apps., serveis, dimonis), afegir grup normal o de sistema, afegir usuari existent a un grup existent
Altres comandes
$password usuari
$id usuari
$groups usuari
$finger usuari
Tipus de Control d'accés
DAC - Discretionary access control. Permet establir els permisos a objectes del sistema a usuaris o grups, i els aquests en certes circumstàncies poden transferir els permisos a altres. Estableix un nivell de seguretat a molt baix nivell. S'implementa amb ACL's, llistes de control d'accés. Exemples són l'estructura de permisos de fitxers dels Sistemes Operatius.
http://en.wikipedia.org/wiki/DACL
MAC - Mandatory access control. És un control més sofisticat que el DAC, funciona a un nivell més alt (operacions), la validació és centralitzada i pot funcionar amb múltiples nivells i establir diferents polítiques en funció del context (nivell). En principi permet a l'administrador definir polítiques globals del Sistema (no concretes com a DAC) que els usuaris no poden modificar. Es pot pensar per exemple en la gestió de polítiques de seguretat dels Sistemes Windows però aplicat a l'accés a objectes.
http://en.wikipedia.org/wiki/Mandatory_access_control
RBAC - Role-based access control
http://en.wikipedia.org/wiki/Role-based_access_control
Exemple Autorització. Llistes de control d'accés
Les llistes de control d'accés (ACL'S) són mecanismes molt estesos que permeten definir quins subjectes tenen accés a quins objectes i amb quins drets o permisos. En general contenen més d'un permís per això s'anomenen llistes.
http://en.wikipedia.org/wiki/Access_control_list
- L'objecte -> Què? Recurs, fitxer, accés a la xarxa...
- El subjecte -> Qui? Usuari, procés
- Dret -> Si o no? permès, impedit, llegir, escriure, executar...
Les llistes de control d'accés és un concepte genèric que es pot aplicar per exemple
- Sistemes de fitxers
- Xarxes: Routers, Tallafocs
NTFS. Seguretat del Sistema de Fitxers
http://msdn.microsoft.com/en-us/library/aa374876%28v=VS.85%29.aspx
Els subjectes principals del sistema de fitxers NTFS són els usuaris i els grups.
Els objectes són directoris, fitxers i volums (unitats).
Els permisos Permisos
- Control total
- Modificar
- Llegir i executar
- Llistar el contingut del directori
- Llegir
- Escriure
Aquests permisos es poden permetre o denegar per a cada objecte a qualsevol usuari o grup, a més es poden propagar els permisos als fills en el cas dels directoris (Tots els objectes dins el directori). A més el propietari de cada objecte pot donar permisos a altres usuaris.
UNIX. Seguretat del Sistema de Fitxers
UNIX funciona amb una versió simplificada de control d'accés. Els subjectes principals del sistema de fitxers en Sistemes UNIX són els usuaris, grups i altres.
Els objectes són directoris, fitxers i enllaços simbòlics.
alex@alex-pc:~/Escriptori$ ls -l ... -rw-r--r-- 1 alex alex 58683 2010-01-11 19:49 ComptesBrasil.pdf drwxr-xr-x 2 alex alex 4096 2011-05-19 13:03 download lrwxrwxrwx 1 alex alex 18 2010-10-21 09:55 Enllaç a Dropbox -> /home/alex/Dropbox -rw------- 1 alex alex 47330 2010-10-08 11:16 EntradesF242.pdf
- El primer caràcter indica el tipus d'objecte: arxiu normal (–), directori (d), enllaç simbòlic (l)
- Els nou caràcters següents representen els permisos d’accés
- 3 caràcters per a l’usuari propietari (user).
- 3 caràcters per al grup (group).
- 3 caràcters per als altres, ni l’usuari ni pertanyen al grup (others).
- Els permisos de cada objecte es defineixen amb 3 caràcters
- Lectura (r, read), escriptura (w, write) i execució (x, execution). (Si un caràcter conté un guió significa que no es
té el permís corresponent activat).
Algunes comandes d'utilitat per a gestionar els permisos són: chmod i chown.
$chmod u=rwx freebsd.pdf $chmod ugo-r materials $chmod o+w freebsd.pdf
Els arxius que es creen amb el propietari l'usuari actual i el grup el grup principal de l'usuari. Només l’administrador (root) o el propietari poden modificar els permisos d’un objecte.
UNIX. Llistes d'accés i quotes
Existeixen implementacions que permeten afegir ACL's per gestionar l'accés a objectes del sistema de fitxers, de manera que cada objecte pot tenir múltiples permisos per usuaris o grups.
http://www.iesrioarba.es/index.php?option=com_wrapper&view=wrapper&Itemid=182
http://tuxedlinux.wordpress.com/2008/01/27/permisos-con-acl/
Auditoria i Registres (Log)
Els registres (logs) és la informació que el SO o les aplicacions guarden dels esdeveniments que tenen lloc mentre s'executen, poden ser errors, avisos, notificacions...
La auditoria és el procés de recollida de la informació per avaluar-la. En el cas de la seguretat per exemple comprovar si algú intenta entrar al sistema, modificar alguna cosa sense permisos, etc...
Referents a la seguretat. Qui? Quan? Què?
- Sistema Operatiu
- Registre de Windows
- Log de UNIX
- Programari de seguretat
- Antivirus
- Routers
- Tallafocs
- Servidors Intermediaris. Proxies
- Altres: Programari d'accés remot
Aquesta informació ha d'estar protegida per evitar manipulació.
http://www.syslog.org/logged/logging-and-syslog-best-practices/
Existeixen eines específiques que permeten esborrar la informació dels registres.
UNIX
Per defecte Linux registra gran quantitat d'informació de sistema i d'aplicacions, aquests registres es troben generalment a
https://help.ubuntu.com/community/LinuxLogFiles
/var/log/ Per exemple /var/log/messages -> Informació del nucli /var/log/auth.log -> Missatges d'autenticació, inicis de sessió, execucions de sudo /var/log/user.log -> Missatges d'usuari /var/log/wtmp -> No és editable
Algunes comandes
$ finger $ last $ lastlog
Syslog és l'estàndard de facto pel registre dels missatges de xarxa, és útil per auditoria i administració. Inicialment funciona sobre UDP (port 514) en text pla, però existeixen implementacions més segures amb xifratge i inclús per a Windows.
Es pot configurar en un servidor que centralitza els missatges de múltiples màquines. (Addicionalment Syslog també instal·la un visualitzador de registres)
/etc/syslog.conf /etc/default/syslogd Per comprovar els missatges tal com apareixen $tail -f /var/log/messages Per cercar informació $grep string /var/log/messages | more
Existeixen altres eines més complexes per implementar la seguretat com SELinux: security
enhanced Linux.
I eines que permeten auditar (comprovar) la correcta configuració de seguretat del sistema i les aplicacions Yasat. http://yasat.sourceforge.net/
Existeixen altres eines per exemple que permeten monitorar el sistema de fitxers potser la més coneguda inotify (inotify-tools, a molt baix nivell, API per programar les eines de monitoreig), però d'altres com FAM (File Alteration Monitor), Gamin o auditctl. Utilitats com fsnipe, fileschanged.
Windows
Els registres de Windows es poden consultar des de Panell de Control > Eines Administratives > Visor d'esdeveniments
Per activar l'auditoria per exemple a Windows XP http://support.microsoft.com/kb/310399
També es poden usar eines de monitoratge en directe com Process Monitor http://technet.microsoft.com/en-us/sysinternals/bb896645
