UF1-NF1. Control d'accés

De Wiki IES Marianao. Departament Informàtica
La revisió el 09:47, 13 ago 2011 per Alex (Discussió | contribucions) (UNIX)

Dreceres ràpides: navegació, cerca

tornar M11 - Seguretat i alta_disponibilitat


Control d'accés (Lògic)

El control d’accés lògic als sistemes d'informació inclou dues grans funcionalitats

  • Identificació i autenticació
  • Autorització

La identificació i autenticació consisteix en verificar la identitat d’un usuari (o entitat del sistema). La identificació permet conèixer qui és (per exemple un nom d'usuari) i la autenticació confirma que realment és qui diu (per exemple una contrasenya).


Aquestes dues poden estar separades o unificades en una sola comprovació. Els tipus d'autenticació són:

  • Per coneixement (Contrasenya).
  • Per possessió (Targeta).
  • Per característiques físiques (Lectors biomètrics).
  • Combinació de les anteriors


L' autorització per altre banda és la concessió d’un dret o d’un permís a un usuari (o entitat del sistema) per accedir a un recurs. L’usuari a qui se li concedeix l'autorització només podrà realitzar les accions o accedir als recursos per als quals té permís.

S'entén per permís quelcom que es pot fer amb un determinat recurs.

Per facilitar la gestió dels administradors, a vegades els permisos s'agrupen en rols (Conjunt de permisos), i els usuaris en grups (Conjunt d'usuaris amb característiques semblants).


En certs casos els permisos es poden associar a ubicacions (localització) físiques (davant un cert terminal només) o lògiques (IP o xarxa concreta), o també a horaris.


Tipus de Control d'accés

DAC - Discretionary access control. Permet establir els permisos a objectes del sistema a usuaris o grups, i els aquests en certes circumstàncies poden transferir els permisos a altres. Estableix un nivell de seguretat a molt baix nivell. S'implementa amb ACL's, llistes de control d'accés.

http://en.wikipedia.org/wiki/DACL

MAC - Mandatory access control. És un control més sofisticat que el DAC, funciona a un nivell més alt (operacions), la validació és centralitzada i pot funcionar amb múltiples nivells i establir diferents polítiques en funció del context (nivell). En principi permet a l'administrador definir polítiques globals del Sistema (no concretes com a DAC) que els usuaris no poden modificar.


http://en.wikipedia.org/wiki/Mandatory_access_control


RBAC - Role-based access control


http://en.wikipedia.org/wiki/Role-based_access_control


Exemple Autenticació. Contrasenyes

Les contrasenyes són un dels principals mecanismes per evitar accessos no autoritzats. Es tracta d'un conjunt de caràcters coneguts només per l'usuari (secrets).

Les contrasenyes d'un sistema es regulen a través de la política de contrasenyes que especifica normes respecte:

  • El contingut i el format
  • La protecció
  • La freqüència de renovació
  • El procediment per a canviar-la


Exercici

Quina política de contrasenyes té Google? i els sistemes UNIX (Mòdul PAM)? i Windows?

Configura Ubuntu per obligar als usuaris a tenir contrasenya i que aquesta tingui una mida mínima de 8 caràcters.


Contrasenyes febles:

  • Curtes (menys de 8 caràcters).
  • Dades personals.
  • Patrons (1234).
  • És una paraula de diccionari.

Contrasenyes robustes

  • No és feble i
  • Conté majúscules i minúscules.
  • Barreja números i lletres


Les normes bàsiques de protecció de les contrasenyes són:

  • No escriure mai la contrasenya en un correu electrònic.
  • No dir la contrasenya per telèfon a ningú.
  • No dir la contrasenya als companys d’empresa ni que siguin superiors directes.
  • No parlar sobre les contrasenyes davant d’altres persones.
  • No posar pistes de la contrasenya per fer-la més fàcil de recordar i alhora d’esbrinar.
  • No escriure mai la contrasenya en formularis ni que siguin formularis del departament de seguretat.
  • No dir la contrasenya a amics ni familiars.
  • No dir a ningú la contrasenya quan es marxa de vacances.
  • No escriure en cap paper la contrasenya per si de cas s’oblida.
  • Canviar la contrasenya cada sis mesos com a mínim.


Les contrasenyes poden ser atacades de múltiples maneres per exemple

  • Tècniques d'enginyeria social en els fraus informàtics com el Phishing on el propi usuari la revela.
  • Programari de força bruta, per exemple john de ripper (http://www.openwall.com/john/).
  • Programari que permet modificar-la, per exemple CiaCommander Media: CiaCommander.iso


Exercici
*Crea un usuari amb contrasenya '1234' en Ubuntu i utilitza John de ripper per comprovar si és dèbil
*Utilitza el programa CiaCommander per accedir a un sistema NTFS.

Exemple Autorització. Llistes de control d'accés

Les llistes de control d'accés (ACL'S) són mecanismes molt estesos que permeten definir quins subjectes tenen accés a quins objectes i amb quins drets o permisos. En general contenen més d'un permís per això s'anomenen llistes.


http://en.wikipedia.org/wiki/Access_control_list


  • L'objecte -> Què? Recurs, fitxer, accés a la xarxa...
  • El subjecte -> Qui? Usuari, procés
  • Dret -> Si o no? permès, impedit, llegir, escriure, executar...


Les llistes de control d'accés és un concepte genèric que es pot aplicar per exemple

  • Sistemes de fitxers
  • Xarxes: Routers, Tallafocs



NTFS

Usuaris i grups

Directori, fitxers i volums?

Permisos

  • Lectura
  • Escriptura
  • Lectura i execució
  • Modificació
  • Control total
  • Fer una llista del contingut del directori.

També hem de tenir en compte altres conceptes com la propietat dels objectes, l’herència de permisos i les auditories.

La propietat d’un objecte (directori, arxiu) permet que el propietari doni permisos a altres usuaris

Finalment, l’auditoria permet que els administradors monitorin els canvis a fitxers o directoris.


UNIX

UNIX

arxiu normal (–), directori (d), enllaç simbòlic (l)

nou caràcters que representen els permisos d’accés

Tres caràcters per a l’usuari propietari de l’arxiu o directori (user). • Tres caràcters per al grup d’usuaris de l’arxiu o directori (group). Tres caràcters per a la resta d’usuaris, és a dir, que no són ni l’usuari propietari ni pertanyen al grup de l’arxiu o directori (others).


En cada grup de tres caràcters, el primer correspon al permís de lectura (r, read), el segon al permís d’escriptura (w, write) i el tercer al permís d’execució (x, execution).

Si un caràcter conté un guió significa que no es té el permís corresponent activat.

chmod

chmod u=rwx freebsd.pdf chmod ugo-r materials chmod o+w freebsd.pdf

Només l’administrador del sistema o l’usuari propietari pot modificar els permisos d’un arxiu o directori


chown

Quan es crea un arxiu, s’hi assigna automàticament un usuari i un grup propietaris. L’usuari és el que ha creat l’arxiu i el grup és el grup principal al qual pertany.


Habilitar les llistes de control d’accés a serveis i fitxers. Les llistes de control d’accés permeten assignar permisos a més d’un usuari per a un fitxer o directori determinat, la qual cosa millora i flexibilitza la gestió de permisos i accessos a un determinat recurs o fitxer del sistema.

Auditoria i Registres (Log)

Referents a la seguretat

Qui? Quan? Què?

  • Del SO
    • Registre de Windows (Configurable)
    • Log de UNIX
  • Del programari de seguretat
    • Antivirus
    • Routers
    • Tallafocs
    • Servidors Intermediaris. Proxies
    • Altres: Programari d'accés remot


Aquesta informació ha d'estar protegida per evitar manipulació.

http://www.syslog.org/

http://www.syslog.org/logged/logging-and-syslog-best-practices/


UNIX

Per defecte Linux registra gran quantitat d'informació de sistema i d'aplicacions, aquests registres es troben generalment a 

/var/log/

Per exemple

/var/log/messages   -> Informació del nucli
/var/log/auth.log   -> Missatges d'autenticació, inicis de sessió, execucions de sudo
/var/log/user.log   -> Missatges d'usuari


Syslog és l'estàndard de facto pel registre dels missatges de xarxa, és útil per auditoria i administració. Inicialment funciona sobre UDP (port 514) en text pla, però existeixen implementacions més segures amb xifratge i inclús per a Windows.

Es pot configurar en un servidor que centralitza els missatges de múltiples màquines. 

/etc/syslog.conf
/etc/default/syslogd

http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch05_:_Troubleshooting_Linux_with_syslog


Existeixen altres eines més complexes per implementar la seguretat com SELinux: security enhanced Linux.


I eines que permeten auditar (comprovar) la correcta configuració de seguretat del sistema i les aplicacions Yasat. http://yasat.sourceforge.net/


Existeixen altres eines per exemple que permeten monitorar el sistema de fitxers potser la més coneguda inotify (inotify-tools), però d'altres com FAM (File Alteration Monitor) o Gamin.

Obtingut de «https://mediawiki.institutmarianao.cat/index.php?title=UF1-NF1._Control_d%27accés&oldid=503»