Hay momentos en que la gente necesita acceso a la
información, como documentos, diapositivas, etc., en una unidad de red, pero no
tienen el nivel adecuado de acceso a la lectura y / o modificar el artículo.
Esto puede ocurrir en el momento más inoportuno y que tendría que obtener una
bodega de un administrador de sistemas que les conceda el nivel apropiado de
privilegios. Por supuesto, terminan preguntando por qué no pueden simplemente
tener acceso total a la información en una carpeta para que puedan buscar a
través de los artículos y encontrar lo que necesitan. La respuesta podría estar
a lo largo de las líneas de, "Lo siento, pero es necesario enviar un
ticket a la mesa de ayuda con la información apropiada, teniendo que pasar por
un proceso de selección antes de que podamos conceder el acceso adecuado."
Esto lleva a más frustración con el individuo, diciendo algo así como:
"¿Hay una manera más rápida de hacer esto? Sólo necesito el acceso a una
carpeta, eso es todo. "¿Y ahora qué? Por doloroso que pueda parecer (e
inconveniente a veces), hay razones por las que el control de acceso entra en
juego para un escenario como éste, especialmente en la era del ciberespacio. En
esta discusión, voy a definir el control de acceso y hablar de los cuatro
modelos de control de acceso. También voy a describir los métodos de control de
acceso lógico y explicar los diferentes tipos de control de acceso físico.
Control de acceso y control de acceso Modelos
El control de acceso es, básicamente, la identificación de
una persona que realiza un trabajo específico, la autentificación de ellos
mirando su identificación, a continuación, dar a esa persona solamente la llave
de la puerta o equipo que necesitan acceso y nada más. En el mundo de la
seguridad de la información, uno podría ver esto como la concesión de un
permiso individual a subirse a una red a través de un nombre de usuario y
contraseña, lo que les permite el acceso a los archivos, computadoras, u otro
hardware o software la persona requiere, y la garantía de que tener el nivel
adecuado de autorización (es decir, sólo lectura) para hacer su trabajo. Así
que, ¿cómo se puede conceder el nivel adecuado de permiso a un individuo para
que puedan desempeñar sus funciones? Aquí es donde los modelos de control de
acceso entran en escena.
Modelos de control de acceso tienen cuatro sabores: Control de acceso obligatorio , control de acceso basado en roles, Control de Acceso
Discrecional (DAC) y Regla control de acceso basado en roles. Echemos un
vistazo a cada uno de ellos y lo que ellos implican.
El Mandatario de control de acceso, o MAC, da sólo la
gestión al dueño y custodio de los controles de acceso. Esto significa que el
usuario final no tiene control sobre cualquier ajuste que proporcionan ningún
privilegio a nadie. Ahora, hay dos modelos de seguridad asociados con MAC: Biba
y Bell-LaPadula. El modelo Biba se centra en la integridad de la información,
mientras que el modelo Bell-LaPadula se centra en la confidencialidad de la
información. Biba es una instalación donde un usuario con un aclaramiento bajo
nivel puede leer información de mayor nivel (llamado "leer") y un
usuario con el aclaramiento de alto nivel pueden escribir para niveles más
bajos de aclaramiento (llamados "escribir"). El modelo Biba se
utiliza típicamente en las empresas donde los empleados de niveles inferiores
pueden leer la información de nivel superior y los ejecutivos pueden escribir
para informar a los empleados de nivel inferior.
Bell-LaPadula, por otro lado, es una instalación donde un
usuario a un nivel superior (es decir, Top Secret) sólo puede escribir en ese
nivel y no inferior (llamado "redactar"), pero también se puede leer
en los niveles inferiores (llamado "leer abajo"). Bell-LaPadula fue
desarrollado para fines gubernamentales y / o militares en la que si uno no
tiene el nivel de autorización correcto y no necesita conocer cierta
información, no tienen ningún negocio con la información. En un tiempo, MAC se
asoció con un sistema de numeración que asignar un número de nivel a los
archivos y números de nivel a los empleados. Este sistema hizo de manera que si
un archivo (es decir myfile.ppt) tenía es de nivel 400, otro archivo (es decir
yourfile.docx) es de nivel 600 y el empleado tenía un nivel de 500, el empleado
no pueda acceder a la "yourfile .docx "debido al nivel más alto (600)
asociado con el archivo. MAC es el control de acceso más alto que hay y se
utiliza en entornos militares y / o gubernamentales que utilizan las
clasificaciones de anuncio, Secreto, y clasificación en lugar del sistema de
numeración se ha mencionado anteriormente.
El Role Based Access Control, o RBAC, modelo proporciona
control de acceso basado en la posición de un individuo llena en una
organización. Así, en lugar de asignar permisos de John como un gerente de seguridad,
la posición de gerente de seguridad ya los permisos asignados a la misma. En
esencia, John sería sólo tiene acceso al perfil de gestor de seguridad. RBAC
hace la vida más fácil para el administrador de sistemas de la organización. El
gran problema con este modelo de control de acceso es que si John requiere el
acceso a otros archivos, tiene que haber otra manera de hacerlo ya que los
roles se asocian únicamente con la posición; de lo contrario, los gerentes de
seguridad de otras organizaciones podrían conseguir posiblemente el acceso a
los archivos que están autorizados para.
El control de acceso discrecional, o DAC, modelo es el
modelo menos restrictivo en comparación con el modelo MAC más restrictivo. DAC
permite un control completo individual sobre cualquier objeto que poseen junto
con los programas asociados con esos objetos. Esto da DAC dos grandes
debilidades. En primer lugar, le da al usuario final un control completo para
establecer la configuración del nivel de seguridad para otros usuarios que
podrían dar lugar a los usuarios que tienen privilegios superiores a los que se
supone que. En segundo lugar, y lo peor, los permisos que el usuario final ha
se heredan en otros programas que se ejecutan. Esto significa que el usuario
final puede ejecutar malware sin saberlo y el malware podría aprovechar los
privilegios potencialmente de alto nivel del usuario final posee.
El cuarto y último modelo de control de acceso es de control
de acceso basado en normas, también con el RBAC acrónimo o RB-RBAC. Regla de
Control de Acceso Basado en asignará dinámicamente funciones a los usuarios
sobre la base de criterios definidos por el administrador o custodio del
sistema. Por ejemplo, si alguien sólo se permite el acceso a los archivos
durante ciertas horas del día, la Regla de Control de Acceso Basado sería la
herramienta de elección. Las "reglas" adicionales de Regla control de
acceso basado requiriendo aplicación pueden necesitar ser
"programado" en la red por el depositario o administrador del sistema
en forma de código frente a "marcar la casilla".
Ahora que he cubierto de control de acceso y sus modelos,
déjenme decirles cómo se implementan lógicamente.
Métodos de control de acceso lógico
Control de acceso lógico se realiza a través de listas de
control de acceso (ACL), las políticas de grupos, contraseñas y restricciones
de la cuenta. Vamos a echar un vistazo a cada uno de estos para ver cómo
proporcionan acceso controlado a los recursos.
Listas de control de acceso (ACL) son permisos unidos a un
(es decir, el archivo de hoja de cálculo) objeto de que un sistema de
verificación para permitir o denegar el control a ese objeto. Estos permisos
van desde el control total de sólo lectura "acceso denegado". Cuando
se trata de los distintos sistemas operativos (por ejemplo, Windows®, Linux,
Mac OS X ®), las entradas en las ACL se denominan "de entrada de control
de acceso" o ACE, y se configuran a través de cuatro piezas de
información: un identificador de seguridad (SID), una máscara de acceso, una
bandera para las operaciones que se pueden realizar en el objeto, y otro
conjunto de indicadores para determinar los permisos heredados del objeto. Por
lo tanto, como se puede ver, las ACL proporcionar control de acceso detallada
para los objetos. Sin embargo, pueden llegar a ser engorroso cuando los cambios
se producen con frecuencia y uno tiene que administrar muchos objetos.
Las directivas de grupo son parte del entorno Windows® y
permiten una gestión centralizada de control de acceso a una red de ordenadores
que utilizan los servicios de directorio de Microsoft llamado Active Directory.
Esto elimina la necesidad de ir a cada ordenador y configurar el control de
acceso. Estos ajustes se almacenan en objetos de directiva de grupo (GPO) que
hacen que sea conveniente para el administrador del sistema para poder
configurar los ajustes. Aunque conveniente, un hacker determinado puede
conseguir alrededor de estas políticas de grupo y hacer la vida miserable para
el administrador del sistema o custodio.
Las contraseñas son "el control más común lógica de
acceso ... a veces referido como un símbolo lógico" (Ciampa, 2009). Sin
embargo, dicho esto, tienen que ser difícil de hackear el fin de proporcionar
un nivel esencial de control de acceso. Si uno hace la contraseña fácil de
adivinar o utiliza una palabra en el diccionario, que pueden ser objeto de
ataques de fuerza bruta, ataques de diccionario, u otros ataques utilizando
tablas del arco iris. Teniendo esto en cuenta, los expertos coinciden en que
cuanto mayor sea la contraseña, más difícil es de romper, siempre que el
usuario lo recuerda y utiliza muchos personajes diferentes y personajes de tipo
no-teclado en su creación. Utilizando este concepto también hace que sea más
difícil para un hacker para romper la contraseña con el uso de tablas de arco
iris. Tener una autenticación de dos factores (es decir, de la tarjeta
inteligente con contraseña) puede hacer las cosas más seguras, sobre todo con
la tecnología avanza a tal punto que las contraseñas de craqueo pueden tomar
sólo unos segundos como se señala en este artículo:
http://cyberarms.wordpress.com/ 2010/10/21 /
cracking-14-caracteres-complejo-passwords-en-5-segundo /.
Además, los parches que aseguran se llevan a cabo con
regularidad, eliminar o deshabilitar cuentas innecesarias, haciendo que el
protegido por contraseña del BIOS, lo que garantiza la computadora sólo arranca
desde el disco duro, y mantener su puerta cerrada con su equipo detrás de él le
ayudará a asegurarse de que sus contraseñas están protegidos.
Por supuesto, no escribir la contraseña va a ayudar,
también.
Restricciones de cuenta son el último método de control de
acceso lógico en la lista. Ciampa señala, "Las dos restricciones de la
cuenta más comunes son el tiempo de las restricciones de día y de caducidad de
la cuenta" (Ciampa, 2009). Tiempo de restricciones día puede asegurar que
un usuario tiene acceso a ciertos registros sólo durante ciertas horas. Esto
haría para que los administradores puedan actualizar los registros en la noche
sin la interferencia de otros usuarios. Se necesitan vencimientos Cuenta para
asegurar las cuentas no utilizadas ya no están disponibles para que los hackers
no pueden posiblemente utilizarlos para cualquier "trabajo sucio".
Tipos de control de acceso físico
Control de acceso físico es la utilización de barreras
físicas que pueden ayudar a prevenir que usuarios no autorizados el acceso a
los sistemas. También permite a los usuarios autorizados tengan acceso a los
sistemas de mantenimiento de la seguridad física en mente. Este tipo de control
incluyen mantener el equipo seguro asegurando la puerta que da acceso al
sistema; utilizando un registro de acceso de papel; la realización de video
vigilancia con circuito cerrado de televisión; y en situaciones extremas, tener
"esclusas".
Fijación del equipo consiste en la desactivación de
hardware, por lo que si un chico malo fuera a tener acceso, no pueden hacer
ningún daño al equipo debido a los puertos con discapacidad USB, unidades de CD
o DVD, o incluso un protegido con contraseña del BIOS. Una vez más, esto sólo
reduce el riesgo de código malicioso que había sido cargado en el sistema y
posiblemente se extienda a otras partes de una red.
La seguridad de la puerta puede ser muy básico o puede
utilizar los dispositivos electrónicos tales como cerraduras con llave con
pestillo en la puerta, cerraduras de cifrado, o tokens físicos. Una cerradura
con pestillo introducido es el mismo que se podría usar para una cerradura de
casa. El bloqueo cifrado sólo permite el acceso si se conoce el código para
abrir la puerta. Tokens físicos normalmente consistirán en una tarjeta de
identificación que, o bien puede ser birlado para el acceso, o pueden contener
en su lugar una etiqueta de identificación por radiofrecuencia (RFID) que
contiene información sobre el mismo que identifica el individuo que necesita el
acceso a la puerta.
Los registros de acceso de papel son comunes en muchos
lugares de la seguridad física. Esto permite a una empresa para registrar a una
persona con nombre, empresa, número de teléfono, el tiempo, y el tiempo de
espera. También puede documentar el empleado que escoltó a la persona durante
el tiempo que estuvieron allí. Los registros de acceso de papel, rellenado con
precisión, complementarán videovigilancia.
Video vigilancia en circuito cerrado de televisión permite
la grabación de las personas que pasan por un control de seguridad. Este tipo
de seguridad de la puerta permite observar a las personas que pasan por el
puesto de control, así como la fecha y la hora, que puede ser útil cuando se
trata de atrapar a los malos. La vigilancia de vídeo también se puede utilizar
en esclusas que es lo que voy a comentar a continuación.
Esclusas tienen seguridad de la puerta a otro nivel. Este
tipo de seguridad se puede ver en la configuración de militares y
gubernamentales, entre otros, al entrar en las zonas de muy alta seguridad. Una
persona va a presentar su identificación al encargado de seguridad y el
encargado le permitirá a la persona a entrar en la primera puerta a una
habitación. Sólo si las credenciales de identificación de la persona son
válidos se les permitirá pasar a través de la habitación e ir a través de la
segunda puerta; si no, mantrap! Sólo pueden salir de la habitación, volviendo
por la primera puerta entraron.
Conclusión
En resumen, presenté una definición de control de acceso y
discutido los cuatro modelos de control de acceso. Además, he descrito los
métodos de control de acceso lógico y explicó los diferentes tipos de control
de acceso físico. Para concluir, no hay un modelo de control de acceso o método
es perfecto; sin embargo, si uno hace algo para disuadir a un atacante, que
pueden contar que como un éxito en la práctica seguridad de la información.
No hay comentarios:
Publicar un comentario