Diferència entre revisions de la pàgina «UF1-NF1. Control d'accés»

De Wiki IES Marianao. Departament Informàtica
Dreceres ràpides: navegació, cerca
(Control d'accés (Lògic))
(Registres (Log))
Línia 174: Línia 174:
 
de permisos i accessos a un determinat recurs o fitxer del sistema.
 
de permisos i accessos a un determinat recurs o fitxer del sistema.
  
==  Registres (Log) ==
+
===  Registres (Log) ===
  
 
Referents a la seguretat
 
Referents a la seguretat

Revisió del 17:18, 12 ago 2011

tornar M11 - Seguretat i alta_disponibilitat


Control d'accés (Lògic)

El control d’accés lògic als sistemes d'informació inclou dues grans funcionalitats

  • Identificació i autenticació
  • Autorització

La identificació i autenticació consisteix en verificar la identitat d’un usuari (o entitat del sistema). La identificació permet conèixer qui és (per exemple un nom d'usuari) i la autenticació confirma que realment és qui diu (per exemple una contrasenya).


Aquestes dues poden estar separades o unificades en una sola comprovació. Els tipus d'autenticació són:

  • Per coneixement (Contrasenya).
  • Per possessió (Targeta).
  • Per característiques físiques (Lectors biomètrics).
  • Combinació de les anteriors


L' autorització per altre banda és la concessió d’un dret o d’un permís a un usuari (o entitat del sistema) per accedir a un recurs. L’usuari a qui se li concedeix l'autorització només podrà realitzar les accions o accedir als recursos per als quals té permís.

S'entén per permís quelcom que es pot fer amb un determinat recurs.

Per facilitar la gestió dels administradors, a vegades els permisos s'agrupen en rols (Conjunt de permisos), i els usuaris en grups (Conjunt d'usuaris amb característiques semblants).


En certs casos els permisos es poden associar a ubicacions (localització) físiques (davant un cert terminal només) o lògiques (IP o xarxa concreta), o també a horaris.


Exemple Autenticació. Contrasenyes

Establiment de polítiques de contrasenyes

Les contrasenyes són el mètode més estès per impedir accessos no autoritzats vers sistemes o continguts dins un sistema


Una contrasenya no és més que un conjunt de caràcters secrets que s’utilitzen com a procés d’autenticació.

Una política de contrasenyes és un document que regula quines són les normes de creació de les contrasenyes, les normes de protecció de les contrasenyes i la freqüència de renovació de les contrasenyes.


Les contrasenyes es consideren febles si compleixen alguna d’aquestes característiques: • Tenen menys de 10 caràcters. • La contrasenya és una paraula que apareix en algun diccionari (sigui de l’idioma que sigui). • La contrasenya és el nom d’algun familiar, amic, company de treball, mascota, personatge famós... • La contrasenya és alguna dada personal com la data de naixement, adreça postal on es viu... • La contrasenya segueix algun patró numèric o alfanumèric com aaabbb, 1234, qwerty... Per tal que una contrasenya es consideri robusta ha de complir les característiques següents: • Contenir tant majúscules com minúscules. • Tenir text, valors numèrics i alfanumèrics. • Tenir com a mínim 10 caràcters de longitud. • No ha d’aparèixer a cap diccionari. • No s’ha de basar en informació personal.


La política de contrasenyes ha d’establir de quina manera els usuaris han de protegir les contrasenyes i aplicar les regles. Les normes bàsiques de protecció de les contrasenyes són: • No escriure mai la contrasenya en un correu electrònic. • No dir la contrasenya per telèfon a ningú. • No dir la contrasenya als companys d’empresa ni que siguin superiors directes. • No parlar sobre les contrasenyes davant d’altres persones. • No posar pistes de la contrasenya per fer-la més fàcil de recordar i alhora d’esbrinar. • No escriure mai la contrasenya en formularis ni que siguin formularis del departament de seguretat. • No dir la contrasenya a amics ni familiars. • No dir a ningú la contrasenya quan es marxa de vacances. • No escriure en cap paper la contrasenya per si de cas s’oblida. • Canviar la contrasenya cada sis mesos com a mínim.


Atacs:

  • Phishing ???
  • tècniques d'enginyeria social en els fraus informàtics.
  • Programari: john de ripper,


Exemple Autorització. Llistes de control d'accés

LEs llistes de control d'accés (ACL'S) http://en.wikipedia.org/wiki/Access_control_list


Objecte -> Què? Recurs, fitxer, accés a la xarxa... Subjecte -> Qui? Usuari, procés Dret -> Si o no? permès, impedit, llegir, escriure, executar...


Les llistes de control d'accés és un concepte genèric que es pot aplicar per exemple

  • Sistemes de fitxers
  • Xarxes: Routers, Tallafocs


NTFS

Usuaris i grups

Directori, fitxers i volums?

Permisos

  • Lectura
  • Escriptura
  • Lectura i execució
  • Modificació
  • Control total
  • Fer una llista del contingut del directori.

També hem de tenir en compte altres conceptes com la propietat dels objectes, l’herència de permisos i les auditories.

La propietat d’un objecte (directori, arxiu) permet que el propietari doni permisos a altres usuaris

Finalment, l’auditoria permet que els administradors monitorin els canvis a fitxers o directoris.


UNIX

arxiu normal (–), directori (d), enllaç simbòlic (l)

nou caràcters que representen els permisos d’accés

Tres caràcters per a l’usuari propietari de l’arxiu o directori (user). • Tres caràcters per al grup d’usuaris de l’arxiu o directori (group). Tres caràcters per a la resta d’usuaris, és a dir, que no són ni l’usuari propietari ni pertanyen al grup de l’arxiu o directori (others).


En cada grup de tres caràcters, el primer correspon al permís de lectura (r, read), el segon al permís d’escriptura (w, write) i el tercer al permís d’execució (x, execution).

Si un caràcter conté un guió significa que no es té el permís corresponent activat.

chmod

chmod u=rwx freebsd.pdf chmod ugo-r materials chmod o+w freebsd.pdf

Només l’administrador del sistema o l’usuari propietari pot modificar els permisos d’un arxiu o directori


chown

Quan es crea un arxiu, s’hi assigna automàticament un usuari i un grup propietaris. L’usuari és el que ha creat l’arxiu i el grup és el grup principal al qual pertany.


Habilitar les llistes de control d’accés a serveis i fitxers. Les llistes de control d’accés permeten assignar permisos a més d’un usuari per a un fitxer o directori determinat, la qual cosa millora i flexibilitza la gestió de permisos i accessos a un determinat recurs o fitxer del sistema.

Registres (Log)

Referents a la seguretat

Qui? Quan? Què?

  • Del SO
    • Registre de Windows (Configurable)
    • Log de UNIX
  • Del programari de seguretat
    • Antivirus
    • Routers
    • Tallafocs
    • Servidors Intermediaris. Proxies
    • Altres: Programari d'accés remot


Aquesta informació ha d'estar protegida per evitar manipulació.


UNIX


Habilitar el sistema de seguretat millorada de Linux (SELinux: security enhanced Linux). SELinux ofereix una sèrie de polítiques de seguretat (implementades al Departament de Defensa dels EUA) i fa servir mòduls de seguretat específics (Linux security modules), implementats en el nucli de Linux. Amb SELinux podem gestionar i auditar millor els accessos als diferents recursos i fitxers del sistema.

Obtingut de «https://mediawiki.institutmarianao.cat/index.php?title=UF1-NF1._Control_d%27accés&oldid=489»