UF1-NF1. Control d'accés

De Wiki IES Marianao. Departament Informàtica
La revisió el 04:14, 29 set 2011 per Alex (Discussió | contribucions) (Auditoria i Registres (Log))

Dreceres ràpides: navegació, cerca

tornar M11 - Seguretat i alta_disponibilitat


Control d'accés (Lògic)

El control d’accés lògic als sistemes d'informació inclou dues grans funcionalitats

  • Identificació i autenticació
  • Autorització

La identificació i autenticació consisteix en verificar la identitat d’un usuari (o entitat del sistema). La identificació permet conèixer qui és (per exemple un nom d'usuari) i la autenticació confirma que realment és qui diu (per exemple una contrasenya).


Aquestes dues poden estar separades o unificades en una sola comprovació. Els tipus d'autenticació són:

  • Per coneixement (Contrasenya).
  • Per possessió (Targeta).
  • Per característiques físiques (Lectors biomètrics).
  • Combinació de les anteriors


L' autorització per altre banda és la concessió d’un dret o d’un permís a un usuari (o entitat del sistema) per accedir a un recurs. L’usuari a qui se li concedeix l'autorització només podrà realitzar les accions o accedir als recursos per als quals té permís.

S'entén per permís quelcom que es pot fer amb un determinat recurs.

Per facilitar la gestió dels administradors, a vegades els permisos s'agrupen en rols (Conjunt de permisos), i els usuaris en grups (Conjunt d'usuaris amb característiques semblants).


En certs casos els permisos es poden associar a ubicacions (localització) físiques (davant un cert terminal només) o lògiques (IP o xarxa concreta), o també a horaris.


Tipus de Control d'accés

DAC - Discretionary access control. Permet establir els permisos a objectes del sistema a usuaris o grups, i els aquests en certes circumstàncies poden transferir els permisos a altres. Estableix un nivell de seguretat a molt baix nivell. S'implementa amb ACL's, llistes de control d'accés. Exemples són l'estructura de permisos de fitxers dels Sistemes Operatius.

http://en.wikipedia.org/wiki/DACL

MAC - Mandatory access control. És un control més sofisticat que el DAC, funciona a un nivell més alt (operacions), la validació és centralitzada i pot funcionar amb múltiples nivells i establir diferents polítiques en funció del context (nivell). En principi permet a l'administrador definir polítiques globals del Sistema (no concretes com a DAC) que els usuaris no poden modificar. Es pot pensar per exemple en la gestió de polítiques de seguretat dels Sistemes Windows però aplicat a l'accés a objectes.


http://en.wikipedia.org/wiki/Mandatory_access_control


RBAC - Role-based access control


http://en.wikipedia.org/wiki/Role-based_access_control

Exemple Autenticació. Contrasenyes

Les contrasenyes són un dels principals mecanismes per evitar accessos no autoritzats. Es tracta d'un conjunt de caràcters coneguts només per l'usuari (secrets).

Les contrasenyes d'un sistema es regulen a través de la política de contrasenyes que especifica normes respecte:

  • El contingut i el format
  • La protecció
  • La freqüència de renovació
  • El procediment per a canviar-la


Contrasenyes febles:

  • Curtes (menys de 8 caràcters).
  • Dades personals.
  • Patrons (1234).
  • És una paraula de diccionari.

Contrasenyes robustes

  • No és feble i
  • Conté majúscules i minúscules.
  • Barreja números i lletres


Les normes bàsiques de protecció de les contrasenyes són:

  • No escriure mai la contrasenya en un correu electrònic.
  • No dir la contrasenya per telèfon a ningú.
  • No dir la contrasenya als companys d’empresa ni que siguin superiors directes.
  • No parlar sobre les contrasenyes davant d’altres persones.
  • No posar pistes de la contrasenya per fer-la més fàcil de recordar i alhora d’esbrinar.
  • No escriure mai la contrasenya en formularis ni que siguin formularis del departament de seguretat.
  • No dir la contrasenya a amics ni familiars.
  • No dir a ningú la contrasenya quan es marxa de vacances.
  • No escriure en cap paper la contrasenya per si de cas s’oblida.
  • Canviar la contrasenya cada sis mesos com a mínim.


Les contrasenyes poden ser atacades de múltiples maneres per exemple

  • Tècniques d'enginyeria social en els fraus informàtics com el Phishing on el propi usuari la revela.
  • Programari de força bruta, per exemple john de ripper (http://www.openwall.com/john/).
  • Programari que permet modificar-la, per exemple CiaCommander Media: CiaCommander.iso

Exemple Autorització. Llistes de control d'accés

Les llistes de control d'accés (ACL'S) són mecanismes molt estesos que permeten definir quins subjectes tenen accés a quins objectes i amb quins drets o permisos. En general contenen més d'un permís per això s'anomenen llistes.


http://en.wikipedia.org/wiki/Access_control_list


  • L'objecte -> Què? Recurs, fitxer, accés a la xarxa...
  • El subjecte -> Qui? Usuari, procés
  • Dret -> Si o no? permès, impedit, llegir, escriure, executar...


Les llistes de control d'accés és un concepte genèric que es pot aplicar per exemple

  • Sistemes de fitxers
  • Xarxes: Routers, Tallafocs


NTFS. Seguretat del Sistema de Fitxers

http://msdn.microsoft.com/en-us/library/aa374876%28v=VS.85%29.aspx


Els subjectes principals del sistema de fitxers NTFS són els usuaris i els grups.


Els objectes són directoris, fitxers i volums (unitats).

Els permisos Permisos

  • Control total
  • Modificar
  • Llegir i executar
  • Llistar el contingut del directori
  • Llegir
  • Escriure


Aquests permisos es poden permetre o denegar per a cada objecte a qualsevol usuari o grup, a més es poden propagar els permisos als fills en el cas dels directoris (Tots els objectes dins el directori). A més el propietari de cada objecte pot donar permisos a altres usuaris.


UNIX. Seguretat del Sistema de Fitxers

UNIX funciona amb una versió simplificada de control d'accés. Els subjectes principals del sistema de fitxers en Sistemes UNIX són els usuaris, grups i altres.


Els objectes són directoris, fitxers i enllaços simbòlics. 


alex@alex-pc:~/Escriptori$ ls -l
...
-rw-r--r--  1 alex alex     58683 2010-01-11 19:49 ComptesBrasil.pdf
drwxr-xr-x  2 alex alex      4096 2011-05-19 13:03 download
lrwxrwxrwx  1 alex alex        18 2010-10-21 09:55 Enllaç a Dropbox -> /home/alex/Dropbox
-rw-------  1 alex alex     47330 2010-10-08 11:16 EntradesF242.pdf


  • El primer caràcter indica el tipus d'objecte: arxiu normal (–), directori (d), enllaç simbòlic (l)
  • Els nou caràcters següents representen els permisos d’accés
    • 3 caràcters per a l’usuari propietari (user).
    • 3 caràcters per al grup (group).
    • 3 caràcters per als altres, ni l’usuari ni pertanyen al grup (others).
    • Els permisos de cada objecte es defineixen amb 3 caràcters
      • Lectura (r, read), escriptura (w, write) i execució (x, execution). (Si un caràcter conté un guió significa que no es

té el permís corresponent activat).


Algunes comandes d'utilitat per a gestionar els permisos són: chmod i chown. 


$chmod u=rwx freebsd.pdf
$chmod ugo-r materials
$chmod o+w freebsd.pdf

Els arxius que es creen amb el propietari l'usuari actual i el grup el grup principal de l'usuari. Només l’administrador (root) o el propietari poden modificar els permisos d’un objecte.


Existeixen implementacions que permeten afegir ACL's per gestionar l'accés a objectes del sistema de fitxers, de manera que cada objecte pot tenir múltiples permisos per usuaris o grups.

http://acl.bestbits.at/

http://www.rsbac.org/why



Auditoria i Registres (Log)

Els registres (logs) és la informació que el SO o les aplicacions guarden dels esdeveniments que tenen lloc mentre s'executen, poden ser errors, avisos, notificacions...

La auditoria és el procés de recollida de la informació per avaluar-la. En el cas de la seguretat per exemple comprovar si algú intenta entrar al sistema, modificar alguna cosa sense permisos, etc...


Referents a la seguretat. Qui? Quan? Què?

  • Sistema Operatiu
    • Registre de Windows
    • Log de UNIX
  • Programari de seguretat
    • Antivirus
    • Routers
    • Tallafocs
    • Servidors Intermediaris. Proxies
    • Altres: Programari d'accés remot

Aquesta informació ha d'estar protegida per evitar manipulació.

http://www.syslog.org/logged/logging-and-syslog-best-practices/

Existeixen eines específiques que permeten esborrar la informació dels registres.


UNIX

Per defecte Linux registra gran quantitat d'informació de sistema i d'aplicacions, aquests registres es troben generalment a 

/var/log/

Per exemple

/var/log/messages   -> Informació del nucli
/var/log/auth.log   -> Missatges d'autenticació, inicis de sessió, execucions de sudo
/var/log/user.log   -> Missatges d'usuari


Syslog és l'estàndard de facto pel registre dels missatges de xarxa, és útil per auditoria i administració. Inicialment funciona sobre UDP (port 514) en text pla, però existeixen implementacions més segures amb xifratge i inclús per a Windows.

Es pot configurar en un servidor que centralitza els missatges de múltiples màquines. (Addicionalment Syslog també instal·la un visualitzador de registres) 

/etc/syslog.conf
/etc/default/syslogd

Per comprovar els missatges tal com apareixen 

$tail -f /var/log/messages

Per cercar informació

$grep string /var/log/messages | more


http://www.syslog.org/

http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch05_:_Troubleshooting_Linux_with_syslog


Existeixen altres eines més complexes per implementar la seguretat com SELinux: security enhanced Linux.


I eines que permeten auditar (comprovar) la correcta configuració de seguretat del sistema i les aplicacions Yasat. http://yasat.sourceforge.net/


Existeixen altres eines per exemple que permeten monitorar el sistema de fitxers potser la més coneguda inotify (inotify-tools), però d'altres com FAM (File Alteration Monitor), Gamin o auditctl.

Windows

Els registres de Windows es poden consultar des de Panell de Control > Eines Administratives > Visor d'esdeveniments

Per activar l'auditoria per exemple a Windows XP http://support.microsoft.com/kb/310399

També es poden usar eines de monitoratge en directe com Process Monitor http://technet.microsoft.com/en-us/sysinternals/bb896645

Obtingut de «https://mediawiki.institutmarianao.cat/index.php?title=UF1-NF1._Control_d%27accés&oldid=814»