Modulo 03 SSO5501 de Seguridad en Sistemas Operativos de Red
Transcripción
Modulo 03 SSO5501 de Seguridad en Sistemas Operativos de Red
SSO5501 Hardening de un Sistema Operativo de Red Modulo 3 LOGO Carlos Villanueva Contenidos www duoc cl www.duoc.cl Controles de Acceso Físico Controles de Acceso Lógico Company Logo Controles de Acceso www duoc cl www.duoc.cl Los procesos de control de acceso implican: Identificación: Qué presentamos para demostrar nuestra identidad. Autenticación: Como se comprueba nuestra identidad. Autorización: Que podemos p hacer después. Company Logo Historia www duoc cl www.duoc.cl ¿Cuál es el método más antiguo utilizado para la identificación y la autenticación? LA BIOMETRIA Company Logo Historia www duoc cl www.duoc.cl ¿La Biometria? Identificación: •Acudimos en persona y esperamos ser reconocidos. •Hablamos por un teléfono. Autenticación: •Reconocimiento facial visual. •Reconocimiento Reconocimiento timbre de voz. o Company Logo Control de acceso www duoc cl www.duoc.cl Control de Acceso Atendido ¾Se presenta algún documento acreditativo ¾Se comprueba su veracidad y validez Control de Acceso Desatendido Algo que Tenemos Poseemos algún elemento que permite el acceso Algo que sabemos Conocemos una clave o contraseña. Algo que somos Característica biométrica. Algo que hacemos Como nos comportamos comportamos. Company Logo Control de acceso Físico www duoc cl www.duoc.cl Control de Acceso Atendido ¿Que Q e tipo de credenciales son presentadas? ¿Pueden ser falsificadas? ¿Puede comprobarse su autenticidad y validez? ¿Se exige siempre su presentación? Company Logo Control de acceso Físico www duoc cl www.duoc.cl Control de Acceso Atendido Si no son utilizadas tili adas barreras físicas para permitir el acceso, toda la seguridad queda en manos de la confianza y efectividad del trabajo del vigilante. Company Logo Control de acceso Físico www duoc cl www.duoc.cl Control de Acceso Desatendido Algo que q e tenemos: tenemos • No se comprueba la identidad de la persona, tan solo la utilización del elemento que autoriza el acceso. • La posesión de diferentes tipos de llaves es el método más utilizado. ¿Es infranqueable? Company Logo Control de acceso Físico www duoc cl www.duoc.cl Control de Acceso Desatendido Algo que tenemos: Tarjetas Electrónicas • Gran variedad de formatos, banda magnética, RFID Chip criptográfico RFID, • Según su tecnología, más difícil su falsificación o copia. • Permiten controlar de forma centralizada los accesos autorizados. • Pueden ser anuladas en caso de perdida, robo. • Pueden requerir la utilización de un PIN o biometría. Company Logo Control de acceso Físico www duoc cl www.duoc.cl Control de Acceso Desatendido Algo que sabemos • Introducimos un PIN o contraseña para validar el acceso, se considera más “robusto” que la utilización de una llave, pero … ¿Estamos seguros que nadie, ni nada nos observa mientras lo tecleamos? ¿Llevamos el PIN anotado en algún lugar? ¿Cómo podemos asegurar que la persona autorizada no lo ha comunicado a nadie más? Company Logo Control de acceso Físico www duoc cl www.duoc.cl Control de Acceso Desatendido Algo que somos • Identifica a un usuario por alguna de sus características únicas, como la voz, rostro, iris, retina, huella, firma, … Company Logo Control de acceso Físico www duoc cl www.duoc.cl Biometría Company Logo Control de acceso Físico www duoc cl www.duoc.cl Company Logo Control de acceso Físico www duoc cl www.duoc.cl En la decisión final de la biometría entra e o que ca acte a la a fiabilidad ab dad de en juego lo caracteriza todo sistema de autenticación: Tasa de falso rechazo (False Rejection R t FRR) Rate, FRR): probabilidad b bilid d d de que ell sistema i t de autenticación rechace a un usuario legítimo porque no es capaz de identificarlo correctamente. Una tasa de falso rechazo alta provoca descontento entre los usuarios del Sistema. Company Logo Control de acceso Físico www duoc cl www.duoc.cl Tasa de falsa aceptación (False Acceptance Rate, FAR) la probabilidad de que el sistema autentique correctamente a un usuario i ililegítimo. íti Una tasa de falsa aceptación elevada genera un grave problema de seguridad seguridad:: damos acceso a quien no debe tenerlo.. tenerlo Company Logo Control de acceso Físico www duoc cl www.duoc.cl Company Logo Control de acceso Físico www duoc cl www.duoc.cl Características de los Sistemas Biométricos La escalabilidad del sistema. q de número diario de requerimientos identificación. procesado en un tiempo muy corto. Soporte a grandes bases de datos. Sistema robusto, tolerante a fallos de hardware. Company Logo Control de acceso Físico www duoc cl www.duoc.cl Control de Acceso Desatendido Algo que hacemos: Comportamiento • Identifica a un usuario por la forma única y personal de comportarse al hablar, escribir, caminar, i … Voz Forma de firmar F Forma de d teclear t l Forma de caminar Company Logo Controles de Acceso Lógico www duoc cl www.duoc.cl Sistemas basados en claves de acceso Es el método más utilizado, utilizado incluido en todas las opciones de autenticación de S.O. y/o aplicaciones. (Telnet, FTP, HTTP, Email, ...) • Su fiabilidad se basa en la “robustez” de la política de contraseñas a seguir definiendo aspectos como: Longitud mínima de la contraseña Add Your Complejidad de la contraseña Text here(caracteres utilizados) Vigencia de la contraseña Company Logo Controles de Acceso Lógico www duoc cl www.duoc.cl Sistemas basados en claves de acceso Longitud mínima de la contraseña Corresponde a la cantidad mínima de caracteres validas para que una contraseña sea valida y aceptada Company Logo Controles de Acceso Lógico www duoc cl www.duoc.cl Sistemas basados en claves de acceso Add Your Y Complejidad de la contraseña Text here(caracteres utilizados) Combinación de letras números y caracteres especiales. Resulta difícil su implementación ya que nunca para la mayoría de los usuarios No debe ser una posible palabra de seleccionar una contraseña “robusta” diccionario. no es tarea sencilla. Debe de cambiarse de contraseña periódicamente y no es conveniente admitir contraseñas anteriormente utilizadas. Company Logo Controles de Acceso Lógico www duoc cl www.duoc.cl Sistemas basados en claves de acceso Vigencia de la contraseña Tiempo valido disponible de uso de contraseña para la cuenta asociada asociada. Company Logo Controles de Acceso Lógico www duoc cl www.duoc.cl Sistemas basados en claves de acceso Ejemplo de política de contraseña. contraseña Combinación de 6 letras y números Utilizando el alfabeto (a..z) y los números naturales para construir la contraseña contraseña, las diferentes combinaciones de una palabra de 6 letras son: 366=2.176.782.336 366 2.176.782.336 Un computador actual puede realizar todas estas combinaciones ! En menos de 2 minutos! Company Logo Controles de Acceso Lógico www duoc cl www.duoc.cl Sistemas basados en claves de acceso Ruptura de Contraseñas Ejemplo de descubrimiento por fuerza bruta. Company Logo Controles de Acceso Lógico www duoc cl www.duoc.cl Sistemas basados en claves de acceso Ataque de diccionario En la actualidad existen “diccionarios” en Internet de numerosos lenguajes g j ((inglés, g , francés,, etc...)) así como materias diversas (literatura, música, cine,...) Por ello, seleccionar una contraseña de “diccionario” implica su descubrimiento ! en segundos !!. Company Logo Controles de Acceso Lógico www duoc cl www.duoc.cl Sistemas basados en claves de acceso p Comportamiento de usuarios El mayor problema surge en la actitud de muchos usuarios y su incapacidad de generar un password adecuado y ! recordarlo ! Así, es frecuente que los usuarios: • Anoten y tengan “ a mano” las contraseñas que deben utilizar. utilizar • Traten de “evadir” la “complejidad” de la contraseña: (Ej: mínimo 7 caracteres caracteres, obligatorio letras letras, números y caracteres.) • Contraseña para Enero: pepe01! • Contraseña para Febrero: pepe02! Company Logo Controles de Acceso Lógico www duoc cl www.duoc.cl Sistemas basados en claves de acceso Captura de Contraseñas Numerosos servicios como Telnet, FTP POP3, FTP, POP3 ... Solicitan S li it ell par Usuario/contraseña como control de acceso. Estos servicios “no utilizan cifrado en la comunicación” por lo que son fácilmente interceptados mediante un sniffer Company Logo Controles de Acceso Lógico www duoc cl www.duoc.cl Sistemas basados en claves de acceso Opción de recordar Contraseñas Utilizar la opción de “recordar” contraseñas en el equipo q p local puede permitir extraer sin dificultad todas las contraseñas. Company Logo Controles de Acceso Lógico www duoc cl www.duoc.cl Sistemas basados en claves de acceso Keyloggers Existen también numerosas aplicaciones software/hardware que q registran las pulsaciones efectuadas en el teclado Company Logo Controles de Acceso Lógico www duoc cl www.duoc.cl Sistemas basados en claves de acceso Sistemas basados en Token No prueba quien es la persona que tiene la prenda No autorizan a los individuos individuos, sino a las prendas Si se extravía otra persona podría llegar a utilizarla (conociendo el PIN de acceso) Company Logo Controles de Acceso Lógico www duoc cl www.duoc.cl Sistemas basados en claves de acceso Tarjetas smartcard Dos categorías: contacto y RFID contact smart card requiere introducirla en un lector con una conexión directa a un micromódulo conductor en la superficie de la tarjeta. RFID card requiere proximidad al l t (unos lector ( 10 cm). ) A Ambos b (l (lector t y tarjeta) tienen una antena y su comunicación se produce por radiofrecuencia. di f i Company Logo Controles de Acceso Lógico www duoc cl www.duoc.cl Sistemas One Time Password Permiten utilizar una contraseña diferente cada conexión que caduca una vez utilizada. Anula A l llos iintentos t t d de captura t d de contraseñas mediante keyloggers, cámaras ocultas,, etc. La contraseña es generada por un dispositivo portátil que está sincronizado con el servidor de autenticación central. Company Logo Controles de acceso Lógico www duoc cl www.duoc.cl Sistema de llave pública. Clave privada: • Utilizada para firmar un bloque de datos • Debe ser guardada en secreto Clave pública: • Utilizada para verificar la firma • Debe de darse a conocer a los demás. Company Logo Controles de acceso Lógico www duoc cl www.duoc.cl Proceso de firma digital: El emisor realiza un “hash” hash del documento y lo firma con su clave privada. Se envia el documento junto con el hash “firmado”. El receptor “abre” el hash con la clave pública del emisor (verifica la firma) y realiza el hash sobre el documento. Si coinciden se garantiza la “integridad” del texto. Company Logo Controles de acceso Lógico www duoc cl www.duoc.cl Un CA emite certificados de llave publica. publica Autoridad de Certificación Quien lo emitió El nombre de una persona Su S llave ll publica bli Numero de serie Huella H ll di digital it l Fecha de Validez Company Logo Controles de acceso Lógico www duoc cl www.duoc.cl Para utilizar los certificados emitidos por una CA, es necesario ecesa o co a en e ella e a y tener te e una u a copia cop a de confiar su llave publica. Los navegadores incorporan un gran numero de ellas, ll pero es ffactible tibl agregar algunas l que no estén incluidas. Company Logo www.duoc.cl LOGO