miércoles, 14 de octubre de 2015

Control de acceso

Hay momentos en que la gente necesita acceso a la información, como documentos, diapositivas, etc., en una unidad de red, pero no tienen el nivel adecuado de acceso a la lectura y / o modificar el artículo. Esto puede ocurrir en el momento más inoportuno y que tendría que obtener una bodega de un administrador de sistemas que les conceda el nivel apropiado de privilegios. Por supuesto, terminan preguntando por qué no pueden simplemente tener acceso total a la información en una carpeta para que puedan buscar a través de los artículos y encontrar lo que necesitan. La respuesta podría estar a lo largo de las líneas de, "Lo siento, pero es necesario enviar un ticket a la mesa de ayuda con la información apropiada, teniendo que pasar por un proceso de selección antes de que podamos conceder el acceso adecuado." Esto lleva a más frustración con el individuo, diciendo algo así como: "¿Hay una manera más rápida de hacer esto? Sólo necesito el acceso a una carpeta, eso es todo. "¿Y ahora qué? Por doloroso que pueda parecer (e inconveniente a veces), hay razones por las que el control de acceso entra en juego para un escenario como éste, especialmente en la era del ciberespacio. En esta discusión, voy a definir el control de acceso y hablar de los cuatro modelos de control de acceso. También voy a describir los métodos de control de acceso lógico y explicar los diferentes tipos de control de acceso físico.


Control de acceso y control de acceso Modelos

El control de acceso es, básicamente, la identificación de una persona que realiza un trabajo específico, la autentificación de ellos mirando su identificación, a continuación, dar a esa persona solamente la llave de la puerta o equipo que necesitan acceso y nada más. En el mundo de la seguridad de la información, uno podría ver esto como la concesión de un permiso individual a subirse a una red a través de un nombre de usuario y contraseña, lo que les permite el acceso a los archivos, computadoras, u otro hardware o software la persona requiere, y la garantía de que tener el nivel adecuado de autorización (es decir, sólo lectura) para hacer su trabajo. Así que, ¿cómo se puede conceder el nivel adecuado de permiso a un individuo para que puedan desempeñar sus funciones? Aquí es donde los modelos de control de acceso entran en escena.

Modelos de control de acceso tienen cuatro sabores: Control de acceso obligatorio , control de acceso basado en roles, Control de Acceso Discrecional (DAC) y Regla control de acceso basado en roles. Echemos un vistazo a cada uno de ellos y lo que ellos implican.

El Mandatario de control de acceso, o MAC, da sólo la gestión al dueño y custodio de los controles de acceso. Esto significa que el usuario final no tiene control sobre cualquier ajuste que proporcionan ningún privilegio a nadie. Ahora, hay dos modelos de seguridad asociados con MAC: Biba y Bell-LaPadula. El modelo Biba se centra en la integridad de la información, mientras que el modelo Bell-LaPadula se centra en la confidencialidad de la información. Biba es una instalación donde un usuario con un aclaramiento bajo nivel puede leer información de mayor nivel (llamado "leer") y un usuario con el aclaramiento de alto nivel pueden escribir para niveles más bajos de aclaramiento (llamados "escribir"). El modelo Biba se utiliza típicamente en las empresas donde los empleados de niveles inferiores pueden leer la información de nivel superior y los ejecutivos pueden escribir para informar a los empleados de nivel inferior.

Bell-LaPadula, por otro lado, es una instalación donde un usuario a un nivel superior (es decir, Top Secret) sólo puede escribir en ese nivel y no inferior (llamado "redactar"), pero también se puede leer en los niveles inferiores (llamado "leer abajo"). Bell-LaPadula fue desarrollado para fines gubernamentales y / o militares en la que si uno no tiene el nivel de autorización correcto y no necesita conocer cierta información, no tienen ningún negocio con la información. En un tiempo, MAC se asoció con un sistema de numeración que asignar un número de nivel a los archivos y números de nivel a los empleados. Este sistema hizo de manera que si un archivo (es decir myfile.ppt) tenía es de nivel 400, otro archivo (es decir yourfile.docx) es de nivel 600 y el empleado tenía un nivel de 500, el empleado no pueda acceder a la "yourfile .docx "debido al nivel más alto (600) asociado con el archivo. MAC es el control de acceso más alto que hay y se utiliza en entornos militares y / o gubernamentales que utilizan las clasificaciones de anuncio, Secreto, y clasificación en lugar del sistema de numeración se ha mencionado anteriormente.

El Role Based Access Control, o RBAC, modelo proporciona control de acceso basado en la posición de un individuo llena en una organización. Así, en lugar de asignar permisos de John como un gerente de seguridad, la posición de gerente de seguridad ya los permisos asignados a la misma. En esencia, John sería sólo tiene acceso al perfil de gestor de seguridad. RBAC hace la vida más fácil para el administrador de sistemas de la organización. El gran problema con este modelo de control de acceso es que si John requiere el acceso a otros archivos, tiene que haber otra manera de hacerlo ya que los roles se asocian únicamente con la posición; de lo contrario, los gerentes de seguridad de otras organizaciones podrían conseguir posiblemente el acceso a los archivos que están autorizados para.

El control de acceso discrecional, o DAC, modelo es el modelo menos restrictivo en comparación con el modelo MAC más restrictivo. DAC permite un control completo individual sobre cualquier objeto que poseen junto con los programas asociados con esos objetos. Esto da DAC dos grandes debilidades. En primer lugar, le da al usuario final un control completo para establecer la configuración del nivel de seguridad para otros usuarios que podrían dar lugar a los usuarios que tienen privilegios superiores a los que se supone que. En segundo lugar, y lo peor, los permisos que el usuario final ha se heredan en otros programas que se ejecutan. Esto significa que el usuario final puede ejecutar malware sin saberlo y el malware podría aprovechar los privilegios potencialmente de alto nivel del usuario final posee.

El cuarto y último modelo de control de acceso es de control de acceso basado en normas, también con el RBAC acrónimo o RB-RBAC. Regla de Control de Acceso Basado en asignará dinámicamente funciones a los usuarios sobre la base de criterios definidos por el administrador o custodio del sistema. Por ejemplo, si alguien sólo se permite el acceso a los archivos durante ciertas horas del día, la Regla de Control de Acceso Basado sería la herramienta de elección. Las "reglas" adicionales de Regla control de acceso basado requiriendo aplicación pueden necesitar ser "programado" en la red por el depositario o administrador del sistema en forma de código frente a "marcar la casilla".

Ahora que he cubierto de control de acceso y sus modelos, déjenme decirles cómo se implementan lógicamente.

Métodos de control de acceso lógico

Control de acceso lógico se realiza a través de listas de control de acceso (ACL), las políticas de grupos, contraseñas y restricciones de la cuenta. Vamos a echar un vistazo a cada uno de estos para ver cómo proporcionan acceso controlado a los recursos.

Listas de control de acceso (ACL) son permisos unidos a un (es decir, el archivo de hoja de cálculo) objeto de que un sistema de verificación para permitir o denegar el control a ese objeto. Estos permisos van desde el control total de sólo lectura "acceso denegado". Cuando se trata de los distintos sistemas operativos (por ejemplo, Windows®, Linux, Mac OS X ®), las entradas en las ACL se denominan "de entrada de control de acceso" o ACE, y se configuran a través de cuatro piezas de información: un identificador de seguridad (SID), una máscara de acceso, una bandera para las operaciones que se pueden realizar en el objeto, y otro conjunto de indicadores para determinar los permisos heredados del objeto. Por lo tanto, como se puede ver, las ACL proporcionar control de acceso detallada para los objetos. Sin embargo, pueden llegar a ser engorroso cuando los cambios se producen con frecuencia y uno tiene que administrar muchos objetos.

Las directivas de grupo son parte del entorno Windows® y permiten una gestión centralizada de control de acceso a una red de ordenadores que utilizan los servicios de directorio de Microsoft llamado Active Directory. Esto elimina la necesidad de ir a cada ordenador y configurar el control de acceso. Estos ajustes se almacenan en objetos de directiva de grupo (GPO) que hacen que sea conveniente para el administrador del sistema para poder configurar los ajustes. Aunque conveniente, un hacker determinado puede conseguir alrededor de estas políticas de grupo y hacer la vida miserable para el administrador del sistema o custodio.

Las contraseñas son "el control más común lógica de acceso ... a veces referido como un símbolo lógico" (Ciampa, 2009). Sin embargo, dicho esto, tienen que ser difícil de hackear el fin de proporcionar un nivel esencial de control de acceso. Si uno hace la contraseña fácil de adivinar o utiliza una palabra en el diccionario, que pueden ser objeto de ataques de fuerza bruta, ataques de diccionario, u otros ataques utilizando tablas del arco iris. Teniendo esto en cuenta, los expertos coinciden en que cuanto mayor sea la contraseña, más difícil es de romper, siempre que el usuario lo recuerda y utiliza muchos personajes diferentes y personajes de tipo no-teclado en su creación. Utilizando este concepto también hace que sea más difícil para un hacker para romper la contraseña con el uso de tablas de arco iris. Tener una autenticación de dos factores (es decir, de la tarjeta inteligente con contraseña) puede hacer las cosas más seguras, sobre todo con la tecnología avanza a tal punto que las contraseñas de craqueo pueden tomar sólo unos segundos como se señala en este artículo: http://cyberarms.wordpress.com/ 2010/10/21 / cracking-14-caracteres-complejo-passwords-en-5-segundo /.

Además, los parches que aseguran se llevan a cabo con regularidad, eliminar o deshabilitar cuentas innecesarias, haciendo que el protegido por contraseña del BIOS, lo que garantiza la computadora sólo arranca desde el disco duro, y mantener su puerta cerrada con su equipo detrás de él le ayudará a asegurarse de que sus contraseñas están protegidos.

Por supuesto, no escribir la contraseña va a ayudar, también.

Restricciones de cuenta son el último método de control de acceso lógico en la lista. Ciampa señala, "Las dos restricciones de la cuenta más comunes son el tiempo de las restricciones de día y de caducidad de la cuenta" (Ciampa, 2009). Tiempo de restricciones día puede asegurar que un usuario tiene acceso a ciertos registros sólo durante ciertas horas. Esto haría para que los administradores puedan actualizar los registros en la noche sin la interferencia de otros usuarios. Se necesitan vencimientos Cuenta para asegurar las cuentas no utilizadas ya no están disponibles para que los hackers no pueden posiblemente utilizarlos para cualquier "trabajo sucio".

Tipos de control de acceso físico

Control de acceso físico es la utilización de barreras físicas que pueden ayudar a prevenir que usuarios no autorizados el acceso a los sistemas. También permite a los usuarios autorizados tengan acceso a los sistemas de mantenimiento de la seguridad física en mente. Este tipo de control incluyen mantener el equipo seguro asegurando la puerta que da acceso al sistema; utilizando un registro de acceso de papel; la realización de video vigilancia con circuito cerrado de televisión; y en situaciones extremas, tener "esclusas".

Fijación del equipo consiste en la desactivación de hardware, por lo que si un chico malo fuera a tener acceso, no pueden hacer ningún daño al equipo debido a los puertos con discapacidad USB, unidades de CD o DVD, o incluso un protegido con contraseña del BIOS. Una vez más, esto sólo reduce el riesgo de código malicioso que había sido cargado en el sistema y posiblemente se extienda a otras partes de una red.

La seguridad de la puerta puede ser muy básico o puede utilizar los dispositivos electrónicos tales como cerraduras con llave con pestillo en la puerta, cerraduras de cifrado, o tokens físicos. Una cerradura con pestillo introducido es el mismo que se podría usar para una cerradura de casa. El bloqueo cifrado sólo permite el acceso si se conoce el código para abrir la puerta. Tokens físicos normalmente consistirán en una tarjeta de identificación que, o bien puede ser birlado para el acceso, o pueden contener en su lugar una etiqueta de identificación por radiofrecuencia (RFID) que contiene información sobre el mismo que identifica el individuo que necesita el acceso a la puerta.

Los registros de acceso de papel son comunes en muchos lugares de la seguridad física. Esto permite a una empresa para registrar a una persona con nombre, empresa, número de teléfono, el tiempo, y el tiempo de espera. También puede documentar el empleado que escoltó a la persona durante el tiempo que estuvieron allí. Los registros de acceso de papel, rellenado con precisión, complementarán videovigilancia.

Video vigilancia en circuito cerrado de televisión permite la grabación de las personas que pasan por un control de seguridad. Este tipo de seguridad de la puerta permite observar a las personas que pasan por el puesto de control, así como la fecha y la hora, que puede ser útil cuando se trata de atrapar a los malos. La vigilancia de vídeo también se puede utilizar en esclusas que es lo que voy a comentar a continuación.

Esclusas tienen seguridad de la puerta a otro nivel. Este tipo de seguridad se puede ver en la configuración de militares y gubernamentales, entre otros, al entrar en las zonas de muy alta seguridad. Una persona va a presentar su identificación al encargado de seguridad y el encargado le permitirá a la persona a entrar en la primera puerta a una habitación. Sólo si las credenciales de identificación de la persona son válidos se les permitirá pasar a través de la habitación e ir a través de la segunda puerta; si no, mantrap! Sólo pueden salir de la habitación, volviendo por la primera puerta entraron.

Conclusión


En resumen, presenté una definición de control de acceso y discutido los cuatro modelos de control de acceso. Además, he descrito los métodos de control de acceso lógico y explicó los diferentes tipos de control de acceso físico. Para concluir, no hay un modelo de control de acceso o método es perfecto; sin embargo, si uno hace algo para disuadir a un atacante, que pueden contar que como un éxito en la práctica seguridad de la información.

No hay comentarios:

Publicar un comentario