Diferència entre revisions de la pàgina «UF1-NF1. Control d'accés»

De Wiki IES Marianao. Departament Informàtica
Dreceres ràpides: navegació, cerca
(Control d'accés (Lògic))
(Control d'accés (Lògic))
Línia 29: Línia 29:
  
  
===  Establiment de polítiques de contrasenyes (Autenticació) ===
+
===  Exemple Autenticació. Contrasenyes ===
 +
 
 +
Establiment de polítiques de contrasenyes
  
 
Les contrasenyes són el mètode més estès per impedir accessos no autoritzats
 
Les contrasenyes són el mètode més estès per impedir accessos no autoritzats
Línia 85: Línia 87:
 
* Programari: john de ripper,
 
* Programari: john de ripper,
  
=== Llistes de control d'accés (Autorització) ===
+
 
 +
=== Exemple Autorització. Llistes de control d'accés ===
  
  

Revisió del 17:17, 12 ago 2011

tornar M11 - Seguretat i alta_disponibilitat


Control d'accés (Lògic)

El control d’accés lògic als sistemes d'informació inclou dues grans funcionalitats

  • Identificació i autenticació
  • Autorització

La identificació i autenticació consisteix en verificar la identitat d’un usuari (o entitat del sistema). La identificació permet conèixer qui és (per exemple un nom d'usuari) i la autenticació confirma que realment és qui diu (per exemple una contrasenya).


Aquestes dues poden estar separades o unificades en una sola comprovació. Els tipus d'autenticació són:

  • Per coneixement (Contrasenya).
  • Per possessió (Targeta).
  • Per característiques físiques (Lectors biomètrics).
  • Combinació de les anteriors


L' autorització per altre banda és la concessió d’un dret o d’un permís a un usuari (o entitat del sistema) per accedir a un recurs. L’usuari a qui se li concedeix l'autorització només podrà realitzar les accions o accedir als recursos per als quals té permís.

S'entén per permís quelcom que es pot fer amb un determinat recurs.

Per facilitar la gestió dels administradors, a vegades els permisos s'agrupen en rols (Conjunt de permisos), i els usuaris en grups (Conjunt d'usuaris amb característiques semblants).


En certs casos els permisos es poden associar a ubicacions (localització) físiques (davant un cert terminal només) o lògiques (IP o xarxa concreta), o també a horaris.


Exemple Autenticació. Contrasenyes

Establiment de polítiques de contrasenyes

Les contrasenyes són el mètode més estès per impedir accessos no autoritzats vers sistemes o continguts dins un sistema


Una contrasenya no és més que un conjunt de caràcters secrets que s’utilitzen com a procés d’autenticació.

Una política de contrasenyes és un document que regula quines són les normes de creació de les contrasenyes, les normes de protecció de les contrasenyes i la freqüència de renovació de les contrasenyes.


Les contrasenyes es consideren febles si compleixen alguna d’aquestes característiques: • Tenen menys de 10 caràcters. • La contrasenya és una paraula que apareix en algun diccionari (sigui de l’idioma que sigui). • La contrasenya és el nom d’algun familiar, amic, company de treball, mascota, personatge famós... • La contrasenya és alguna dada personal com la data de naixement, adreça postal on es viu... • La contrasenya segueix algun patró numèric o alfanumèric com aaabbb, 1234, qwerty... Per tal que una contrasenya es consideri robusta ha de complir les característiques següents: • Contenir tant majúscules com minúscules. • Tenir text, valors numèrics i alfanumèrics. • Tenir com a mínim 10 caràcters de longitud. • No ha d’aparèixer a cap diccionari. • No s’ha de basar en informació personal.


La política de contrasenyes ha d’establir de quina manera els usuaris han de protegir les contrasenyes i aplicar les regles. Les normes bàsiques de protecció de les contrasenyes són: • No escriure mai la contrasenya en un correu electrònic. • No dir la contrasenya per telèfon a ningú. • No dir la contrasenya als companys d’empresa ni que siguin superiors directes. • No parlar sobre les contrasenyes davant d’altres persones. • No posar pistes de la contrasenya per fer-la més fàcil de recordar i alhora d’esbrinar. • No escriure mai la contrasenya en formularis ni que siguin formularis del departament de seguretat. • No dir la contrasenya a amics ni familiars. • No dir a ningú la contrasenya quan es marxa de vacances. • No escriure en cap paper la contrasenya per si de cas s’oblida. • Canviar la contrasenya cada sis mesos com a mínim.


Atacs:

  • Phishing ???
  • tècniques d'enginyeria social en els fraus informàtics.
  • Programari: john de ripper,


Exemple Autorització. Llistes de control d'accés

LEs llistes de control d'accés (ACL'S) http://en.wikipedia.org/wiki/Access_control_list


Objecte -> Què? Recurs, fitxer, accés a la xarxa... Subjecte -> Qui? Usuari, procés Dret -> Si o no? permès, impedit, llegir, escriure, executar...


Les llistes de control d'accés és un concepte genèric que es pot aplicar per exemple

  • Sistemes de fitxers
  • Xarxes: Routers, Tallafocs


NTFS

Usuaris i grups

Directori, fitxers i volums?

Permisos

  • Lectura
  • Escriptura
  • Lectura i execució
  • Modificació
  • Control total
  • Fer una llista del contingut del directori.

També hem de tenir en compte altres conceptes com la propietat dels objectes, l’herència de permisos i les auditories.

La propietat d’un objecte (directori, arxiu) permet que el propietari doni permisos a altres usuaris

Finalment, l’auditoria permet que els administradors monitorin els canvis a fitxers o directoris.


UNIX

arxiu normal (–), directori (d), enllaç simbòlic (l)

nou caràcters que representen els permisos d’accés

Tres caràcters per a l’usuari propietari de l’arxiu o directori (user). • Tres caràcters per al grup d’usuaris de l’arxiu o directori (group). Tres caràcters per a la resta d’usuaris, és a dir, que no són ni l’usuari propietari ni pertanyen al grup de l’arxiu o directori (others).


En cada grup de tres caràcters, el primer correspon al permís de lectura (r, read), el segon al permís d’escriptura (w, write) i el tercer al permís d’execució (x, execution).

Si un caràcter conté un guió significa que no es té el permís corresponent activat.

chmod

chmod u=rwx freebsd.pdf chmod ugo-r materials chmod o+w freebsd.pdf

Només l’administrador del sistema o l’usuari propietari pot modificar els permisos d’un arxiu o directori


chown

Quan es crea un arxiu, s’hi assigna automàticament un usuari i un grup propietaris. L’usuari és el que ha creat l’arxiu i el grup és el grup principal al qual pertany.


Habilitar les llistes de control d’accés a serveis i fitxers. Les llistes de control d’accés permeten assignar permisos a més d’un usuari per a un fitxer o directori determinat, la qual cosa millora i flexibilitza la gestió de permisos i accessos a un determinat recurs o fitxer del sistema.

Registres (Log)

Referents a la seguretat

Qui? Quan? Què?

  • Del SO
    • Registre de Windows (Configurable)
    • Log de UNIX
  • Del programari de seguretat
    • Antivirus
    • Routers
    • Tallafocs
    • Servidors Intermediaris. Proxies
    • Altres: Programari d'accés remot


Aquesta informació ha d'estar protegida per evitar manipulació.


UNIX


Habilitar el sistema de seguretat millorada de Linux (SELinux: security enhanced Linux). SELinux ofereix una sèrie de polítiques de seguretat (implementades al Departament de Defensa dels EUA) i fa servir mòduls de seguretat específics (Linux security modules), implementats en el nucli de Linux. Amb SELinux podem gestionar i auditar millor els accessos als diferents recursos i fitxers del sistema.

Obtingut de «https://mediawiki.institutmarianao.cat/index.php?title=UF1-NF1._Control_d%27accés&oldid=488»