Diferència entre revisions de la pàgina «UF1-NF1. Control d'accés»
(→Registres (Log)) |
(→Exemple Autenticació. Contrasenyes) |
||
| Línia 31: | Línia 31: | ||
=== Exemple Autenticació. Contrasenyes === | === Exemple Autenticació. Contrasenyes === | ||
| − | |||
| − | Les contrasenyes són | + | Les contrasenyes són un dels principals mecanismes per evitar accessos no autoritzats. Es tracta d'un conjunt de caràcters coneguts només per l'usuari (secrets). |
| − | |||
| + | Les contrasenyes d'un sistema es regulen a través de la '''política de contrasenyes''' que especifica normes respecte: | ||
| + | *El contingut i el format | ||
| + | *La protecció | ||
| + | *La freqüència de renovació | ||
| + | *El procediment per a canviar-la | ||
| − | |||
| − | |||
| − | + | <pre> | |
| − | + | Exercici | |
| − | |||
| + | Quina política de contrasenyes té Google? i els sistemes UNIX? i Windows? | ||
| + | </pre> | ||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| + | Contrasenyes febles: | ||
| + | * Curtes (menys de 8 caràcters). | ||
| + | * Dades personals. | ||
| + | * Patrons (1234). | ||
| + | * És una paraula de diccionari. | ||
| − | + | Contrasenyes robustes | |
| − | + | * No és feble i | |
| − | + | * Conté majúscules i minúscules. | |
| − | + | * Barreja números i lletres | |
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | + | Les normes bàsiques de protecció de les contrasenyes són: | |
| − | * | + | * No escriure mai la contrasenya en un correu electrònic. |
| − | * | + | * No dir la contrasenya per telèfon a ningú. |
| − | * | + | * No dir la contrasenya als companys d’empresa ni que siguin superiors directes. |
| + | * No parlar sobre les contrasenyes davant d’altres persones. | ||
| + | * No posar pistes de la contrasenya per fer-la més fàcil de recordar i alhora d’esbrinar. | ||
| + | * No escriure mai la contrasenya en formularis ni que siguin formularis del departament de seguretat. | ||
| + | * No dir la contrasenya a amics ni familiars. | ||
| + | * No dir a ningú la contrasenya quan es marxa de vacances. | ||
| + | * No escriure en cap paper la contrasenya per si de cas s’oblida. | ||
| + | * Canviar la contrasenya cada sis mesos com a mínim. | ||
| + | Les contrasenyes poden ser atacades de múltiples maneres per exemple | ||
| + | * Tècniques d'enginyeria social en els fraus informàtics com el Phishing on el propi usuari la revela. | ||
| + | * Programari de força bruta, per exemple '''john de ripper'''. | ||
| + | * Programari que permet modificar-la, per exemple '''CiaCommander''' | ||
=== Exemple Autorització. Llistes de control d'accés === | === Exemple Autorització. Llistes de control d'accés === | ||
Revisió del 17:40, 12 ago 2011
tornar M11 - Seguretat i alta_disponibilitat
Contingut
Control d'accés (Lògic)
El control d’accés lògic als sistemes d'informació inclou dues grans funcionalitats
- Identificació i autenticació
- Autorització
La identificació i autenticació consisteix en verificar la identitat d’un usuari (o entitat del sistema). La identificació permet conèixer qui és (per exemple un nom d'usuari) i la autenticació confirma que realment és qui diu (per exemple una contrasenya).
Aquestes dues poden estar separades o unificades en una sola comprovació. Els tipus d'autenticació són:
- Per coneixement (Contrasenya).
- Per possessió (Targeta).
- Per característiques físiques (Lectors biomètrics).
- Combinació de les anteriors
L' autorització per altre banda és la concessió d’un dret o d’un permís a un usuari (o entitat del sistema) per accedir a un recurs. L’usuari a qui se li concedeix l'autorització només podrà realitzar les accions o accedir als recursos per als quals té permís.
S'entén per permís quelcom que es pot fer amb un determinat recurs.
Per facilitar la gestió dels administradors, a vegades els permisos s'agrupen en rols (Conjunt de permisos), i els usuaris en grups (Conjunt d'usuaris amb característiques semblants).
En certs casos els permisos es poden associar a ubicacions (localització) físiques (davant un cert terminal només) o lògiques (IP o xarxa concreta), o també a horaris.
Exemple Autenticació. Contrasenyes
Les contrasenyes són un dels principals mecanismes per evitar accessos no autoritzats. Es tracta d'un conjunt de caràcters coneguts només per l'usuari (secrets).
Les contrasenyes d'un sistema es regulen a través de la política de contrasenyes que especifica normes respecte:
- El contingut i el format
- La protecció
- La freqüència de renovació
- El procediment per a canviar-la
Exercici Quina política de contrasenyes té Google? i els sistemes UNIX? i Windows?
Contrasenyes febles:
- Curtes (menys de 8 caràcters).
- Dades personals.
- Patrons (1234).
- És una paraula de diccionari.
Contrasenyes robustes
- No és feble i
- Conté majúscules i minúscules.
- Barreja números i lletres
Les normes bàsiques de protecció de les contrasenyes són:
- No escriure mai la contrasenya en un correu electrònic.
- No dir la contrasenya per telèfon a ningú.
- No dir la contrasenya als companys d’empresa ni que siguin superiors directes.
- No parlar sobre les contrasenyes davant d’altres persones.
- No posar pistes de la contrasenya per fer-la més fàcil de recordar i alhora d’esbrinar.
- No escriure mai la contrasenya en formularis ni que siguin formularis del departament de seguretat.
- No dir la contrasenya a amics ni familiars.
- No dir a ningú la contrasenya quan es marxa de vacances.
- No escriure en cap paper la contrasenya per si de cas s’oblida.
- Canviar la contrasenya cada sis mesos com a mínim.
Les contrasenyes poden ser atacades de múltiples maneres per exemple
- Tècniques d'enginyeria social en els fraus informàtics com el Phishing on el propi usuari la revela.
- Programari de força bruta, per exemple john de ripper.
- Programari que permet modificar-la, per exemple CiaCommander
Exemple Autorització. Llistes de control d'accés
LEs llistes de control d'accés (ACL'S) http://en.wikipedia.org/wiki/Access_control_list
Objecte -> Què? Recurs, fitxer, accés a la xarxa...
Subjecte -> Qui? Usuari, procés
Dret -> Si o no? permès, impedit, llegir, escriure, executar...
Les llistes de control d'accés és un concepte genèric que es pot aplicar per exemple
- Sistemes de fitxers
- Xarxes: Routers, Tallafocs
NTFS
Usuaris i grups
Directori, fitxers i volums?
Permisos
- Lectura
- Escriptura
- Lectura i execució
- Modificació
- Control total
- Fer una llista del contingut del directori.
També hem de tenir en compte altres conceptes com la propietat dels objectes, l’herència de permisos i les auditories.
La propietat d’un objecte (directori, arxiu) permet que el propietari doni permisos a altres usuaris
Finalment, l’auditoria permet que els administradors monitorin els canvis a fitxers o directoris.
UNIX
arxiu normal (–), directori (d), enllaç simbòlic (l)
nou caràcters que representen els permisos d’accés
Tres caràcters per a l’usuari propietari de l’arxiu o directori (user). • Tres caràcters per al grup d’usuaris de l’arxiu o directori (group). Tres caràcters per a la resta d’usuaris, és a dir, que no són ni l’usuari propietari ni pertanyen al grup de l’arxiu o directori (others).
En cada grup de tres caràcters, el primer correspon al permís de lectura
(r, read), el segon al permís d’escriptura (w, write) i el tercer al permís
d’execució (x, execution).
Si un caràcter conté un guió significa que no es té el permís corresponent activat.
chmod
chmod u=rwx freebsd.pdf chmod ugo-r materials chmod o+w freebsd.pdf
Només l’administrador del sistema o l’usuari propietari pot modificar els permisos d’un arxiu o directori
chown
Quan es crea un arxiu, s’hi assigna automàticament un usuari i un grup propietaris. L’usuari és el que ha creat l’arxiu i el grup és el grup principal al qual pertany.
Habilitar les llistes de control d’accés a serveis i fitxers. Les llistes de control d’accés permeten assignar permisos a més d’un usuari per a un fitxer o directori determinat, la qual cosa millora i flexibilitza la gestió de permisos i accessos a un determinat recurs o fitxer del sistema.
Registres (Log)
Referents a la seguretat
Qui? Quan? Què?
- Del SO
- Registre de Windows (Configurable)
- Log de UNIX
- Del programari de seguretat
- Antivirus
- Routers
- Tallafocs
- Servidors Intermediaris. Proxies
- Altres: Programari d'accés remot
Aquesta informació ha d'estar protegida per evitar manipulació.
UNIX
Habilitar el sistema de seguretat millorada de Linux (SELinux: security
enhanced Linux). SELinux ofereix una sèrie de polítiques de seguretat
(implementades al Departament de Defensa dels EUA) i fa
servir mòduls de seguretat específics (Linux security modules), implementats
en el nucli de Linux. Amb SELinux podem gestionar i auditar
millor els accessos als diferents recursos i fitxers del sistema.
