UF1-NF1. Control d'accés

De Wiki IES Marianao. Departament Informàtica
La revisió el 17:50, 12 ago 2011 per Alex (Discussió | contribucions) (Exemple Autenticació. Contrasenyes)

Dreceres ràpides: navegació, cerca

tornar M11 - Seguretat i alta_disponibilitat


Control d'accés (Lògic)

El control d’accés lògic als sistemes d'informació inclou dues grans funcionalitats

  • Identificació i autenticació
  • Autorització

La identificació i autenticació consisteix en verificar la identitat d’un usuari (o entitat del sistema). La identificació permet conèixer qui és (per exemple un nom d'usuari) i la autenticació confirma que realment és qui diu (per exemple una contrasenya).


Aquestes dues poden estar separades o unificades en una sola comprovació. Els tipus d'autenticació són:

  • Per coneixement (Contrasenya).
  • Per possessió (Targeta).
  • Per característiques físiques (Lectors biomètrics).
  • Combinació de les anteriors


L' autorització per altre banda és la concessió d’un dret o d’un permís a un usuari (o entitat del sistema) per accedir a un recurs. L’usuari a qui se li concedeix l'autorització només podrà realitzar les accions o accedir als recursos per als quals té permís.

S'entén per permís quelcom que es pot fer amb un determinat recurs.

Per facilitar la gestió dels administradors, a vegades els permisos s'agrupen en rols (Conjunt de permisos), i els usuaris en grups (Conjunt d'usuaris amb característiques semblants).


En certs casos els permisos es poden associar a ubicacions (localització) físiques (davant un cert terminal només) o lògiques (IP o xarxa concreta), o també a horaris.


Exemple Autenticació. Contrasenyes

Les contrasenyes són un dels principals mecanismes per evitar accessos no autoritzats. Es tracta d'un conjunt de caràcters coneguts només per l'usuari (secrets).

Les contrasenyes d'un sistema es regulen a través de la política de contrasenyes que especifica normes respecte:

  • El contingut i el format
  • La protecció
  • La freqüència de renovació
  • El procediment per a canviar-la


Exercici

Quina política de contrasenyes té Google? i els sistemes UNIX? i Windows?


Contrasenyes febles:

  • Curtes (menys de 8 caràcters).
  • Dades personals.
  • Patrons (1234).
  • És una paraula de diccionari.

Contrasenyes robustes

  • No és feble i
  • Conté majúscules i minúscules.
  • Barreja números i lletres


Les normes bàsiques de protecció de les contrasenyes són:

  • No escriure mai la contrasenya en un correu electrònic.
  • No dir la contrasenya per telèfon a ningú.
  • No dir la contrasenya als companys d’empresa ni que siguin superiors directes.
  • No parlar sobre les contrasenyes davant d’altres persones.
  • No posar pistes de la contrasenya per fer-la més fàcil de recordar i alhora d’esbrinar.
  • No escriure mai la contrasenya en formularis ni que siguin formularis del departament de seguretat.
  • No dir la contrasenya a amics ni familiars.
  • No dir a ningú la contrasenya quan es marxa de vacances.
  • No escriure en cap paper la contrasenya per si de cas s’oblida.
  • Canviar la contrasenya cada sis mesos com a mínim.

Les contrasenyes poden ser atacades de múltiples maneres per exemple

  • Tècniques d'enginyeria social en els fraus informàtics com el Phishing on el propi usuari la revela.
  • Programari de força bruta, per exemple john de ripper (http://www.openwall.com/john/).
  • Programari que permet modificar-la, per exemple CiaCommander Media: CiaCommander.iso


Exercici
*Crea un usuari amb contrasenya '1234' en Ubuntu i utilitza John de ripper per comprovar si és dèbil
*Utilitza el programa CiaCommander per accedir a un sistema NTFS.

Exemple Autorització. Llistes de control d'accés

LEs llistes de control d'accés (ACL'S) http://en.wikipedia.org/wiki/Access_control_list


Objecte -> Què? Recurs, fitxer, accés a la xarxa... Subjecte -> Qui? Usuari, procés Dret -> Si o no? permès, impedit, llegir, escriure, executar...


Les llistes de control d'accés és un concepte genèric que es pot aplicar per exemple

  • Sistemes de fitxers
  • Xarxes: Routers, Tallafocs


NTFS

Usuaris i grups

Directori, fitxers i volums?

Permisos

  • Lectura
  • Escriptura
  • Lectura i execució
  • Modificació
  • Control total
  • Fer una llista del contingut del directori.

També hem de tenir en compte altres conceptes com la propietat dels objectes, l’herència de permisos i les auditories.

La propietat d’un objecte (directori, arxiu) permet que el propietari doni permisos a altres usuaris

Finalment, l’auditoria permet que els administradors monitorin els canvis a fitxers o directoris.


UNIX

arxiu normal (–), directori (d), enllaç simbòlic (l)

nou caràcters que representen els permisos d’accés

Tres caràcters per a l’usuari propietari de l’arxiu o directori (user). • Tres caràcters per al grup d’usuaris de l’arxiu o directori (group). Tres caràcters per a la resta d’usuaris, és a dir, que no són ni l’usuari propietari ni pertanyen al grup de l’arxiu o directori (others).


En cada grup de tres caràcters, el primer correspon al permís de lectura (r, read), el segon al permís d’escriptura (w, write) i el tercer al permís d’execució (x, execution).

Si un caràcter conté un guió significa que no es té el permís corresponent activat.

chmod

chmod u=rwx freebsd.pdf chmod ugo-r materials chmod o+w freebsd.pdf

Només l’administrador del sistema o l’usuari propietari pot modificar els permisos d’un arxiu o directori


chown

Quan es crea un arxiu, s’hi assigna automàticament un usuari i un grup propietaris. L’usuari és el que ha creat l’arxiu i el grup és el grup principal al qual pertany.


Habilitar les llistes de control d’accés a serveis i fitxers. Les llistes de control d’accés permeten assignar permisos a més d’un usuari per a un fitxer o directori determinat, la qual cosa millora i flexibilitza la gestió de permisos i accessos a un determinat recurs o fitxer del sistema.

Registres (Log)

Referents a la seguretat

Qui? Quan? Què?

  • Del SO
    • Registre de Windows (Configurable)
    • Log de UNIX
  • Del programari de seguretat
    • Antivirus
    • Routers
    • Tallafocs
    • Servidors Intermediaris. Proxies
    • Altres: Programari d'accés remot


Aquesta informació ha d'estar protegida per evitar manipulació.


UNIX


Habilitar el sistema de seguretat millorada de Linux (SELinux: security enhanced Linux). SELinux ofereix una sèrie de polítiques de seguretat (implementades al Departament de Defensa dels EUA) i fa servir mòduls de seguretat específics (Linux security modules), implementats en el nucli de Linux. Amb SELinux podem gestionar i auditar millor els accessos als diferents recursos i fitxers del sistema.

Obtingut de «https://mediawiki.institutmarianao.cat/index.php?title=UF1-NF1._Control_d%27accés&oldid=492»