UNIVERSIDAD NACIONAL JORGE BASADRE GROHMANN

FACULTAD DE INGENIERA
ESCUELA PROFESIONAL DE INGENIERA EN INFORMTICA
Y SISTEMAS

CONTROL DE ACCESO DE USUARIOS

CURSO
Seguridad Informtica

DOCENTE
Ing. Jorge Pantigoso Cosso

ESTUDIANTES

Alczar Ramos, Pamela Milagros

Ordoo Musaja, Kilmer Romario
Laqui Flores, Isaas Yencn

CICLO
Octavo ciclo

TACNA- PER
2017

NDICE
 CONTENIDO

1. INTRODUCCIN 3
2. OBJETIVOS 4
3. CONCEPTOS FUNDAMENTALES 4
4. PRINCIPIOS 5
5. PASOS 5
5.1. IDENTIFICACIN 5
5.2. AUTENTIFICACIN 6
5.2.1. Autentificacin basada en conocimientos 6
5.2.2. Autentificacin basada en posesin 7
5.2.3. Autentificacin basada en caractersticas fsicas 7
5.2.4. Autentificacin basada en la posicin 8
5.3. AUTORIZACIN 9
5.3.1. Control de acceso obligatorio (MAC) 9
5.3.2. Control de acceso discrecional (DAC) 9
5.3.3. Control de acceso basado en roles (RBAC) 10
6. REFERENCIAS BIBLIOGRFICAS 10

2
 CONTROL DE ACCESO A USUARIOS

1. INTRODUCCIN

El vertiginoso desarrollo alcanzado en las nuevas tecnologas de la informtica

y las comunicaciones ha llevado a la sociedad a entrar en lo que se ha dado en llamar
era de la informacin. La informacin puede existir en muchas formas, impresa o
escrita en papel, almacenada digitalmente, transmitida por correo postal o utilizando
medios digitales, presentada en imgenes o expuesta en una conversacin.

Cualquiera sea la forma que adquiere la informacin es un recurso que, como

el resto de los activos importantes tiene un gran valor, siendo a veces incalculable, por
contener la vida de una organizacin; es por eso que debe ser debidamente protegida
independientemente de los medios por los cuales se distribuye o almacena. En esta
sociedad de la informacin persisten las razones y motivos para mantener
mecanismos de control de acceso sobre las reas (seguridad fsica) y la informacin
(seguridad lgica) que se desea proteger.

Los controles de acceso fsico tienen una gran importancia puesto que si
alguien que desee atacar un sistema tiene acceso fsico al mismo, el resto de las
medidas de seguridad implantadas se convierten en intiles. Muchos ataques seran
entonces triviales, como por ejemplo los de denegacin de servicio; si es posible
apagar un servidor que proporciona un servicio es evidente que nadie podr utilizarlo.
Otros ataques se simplifican enormemente, por ejemplo es ms fcil obtener
informacin copiando los ficheros o robando directamente los discos que los
contienen, que acceder remotamente a los mismos. Incluso dependiendo el grado de
vulnerabilidad del sistema es posible tomar el control total del mismo, por ejemplo
reinicindolo con un disco de recuperacin que permita cambiar las claves de los
usuarios.

Luego de ver como un sistema puede verse afectado por la falta de seguridad
fsica, es importante recalcar que la mayora de los daos que puede sufrir una
organizacin no ser sobre los medios fsicos sino contra la informacin. La seguridad
de la informacin, como se defini anteriormente, es la preservacin de las siguientes
caractersticas: confidencialidad, integridad y disponibilidad y se logra implementando
un conjunto adecuado de controles, que abarcan polticas, prcticas, procedimientos,
estructuras organizacionales y funciones del software. Entre las medidas de proteccin
de la informacin esenciales para una institucin se encuentra el control de acceso
lgico a los recursos.

3
2. OBJETIVOS

Impedir el acceso no autorizado a los sistemas de informacin, bases de datos

y servicios de informacin.

Implementar seguridad en los accesos de usuarios por medio de tcnicas de

autenticacin y autorizacin.

Controlar la seguridad en la conexin entre la red del Organismo y otras redes

pblicas o privadas.

Registrar y revisar eventos y actividades crticas llevadas a cabo por los

usuarios en los sistemas.

Concientizar a los usuarios respecto de su responsabilidad frente a la

utilizacin de contraseas y equipos.

Garantizar la seguridad de la informacin cuando se utiliza computacin mvil

e instalaciones de trabajo remoto.

3. CONCEPTOS FUNDAMENTALES

Cuando hablamos de un sistema informtico y particularmente hablando de

control de acceso, mencionaremos frecuentemente los trminos sujeto y objeto,
elementos sobre los que se aplicar dicho control:

SUJETO
Los sujetos del sistema son los usuarios, procesos, programas o hilos
que operan sobre los recursos del dispositivo.

OBJETO
Referiremos como objetos los recursos del sistema como ficheros,
directorios, servicios, dispositivos de entrada/salida, puertos TCP/UDP, etc.

PERMISOS
Acciones autorizadas que un sujeto puede realizar sobre un objeto.

4
 SOLICITUD DE ACCESO

Es una accin solicitada al sistema por un sujeto sobre un objeto con el

fin de acceder al mismo.

CONTROL DE ACCESO

Es el proceso de conceder permisos a usuarios o grupos de acceder a

objetos, tales como ficheros o impresoras en la red. El control de acceso est
basado en tres conceptos fundamentales: identificacin, autenticacin y
autorizacin. El control de acceso incluye autenticar la identidad de los
usuarios o grupos y autorizar el acceso a datos o recursos. Los controles de
accesos son necesarios para proteger la confidencialidad, integridad y
disponibilidad de los objetos, y por extensin de la informacin que contienen,
pues permiten que los usuarios autorizados accedan solo a los recursos que
ellos requieren para realizar sus tareas.

4. PRINCIPIOS

Uno de los principios que deben incorporarse al establecer una poltica de

control de acceso eficaz es la prctica de un acceso mnimo o menos
privilegios. Lo que esto significa es que un usuario debe tener la menor
cantidad de acceso requerido para hacer su trabajo.

El principio del menor privilegio incluye la limitacin de los recursos y

aplicaciones accesibles por el usuario, as como el acceso en tiempo permitido.
Por, ejemplo, a veces, puede no ser aconsejable permitir el acceso a los
registros financieros a las 3:00 am por la maana, cuando las instalaciones
deberan estar cerradas.

5. PASOS

5.1. IDENTIFICACIN

Se denomina identificacin a la accin por parte de un usuario de

presentar su identidad a un sistema, usualmente se usa un identificador de
usuario. Establece adems que el usuario es responsable de las acciones que
lleve a cabo en el sistema. Esto est relacionado con los registros de auditoras
que permiten guardar las acciones realizadas dentro del sistema y rastrearlas
hasta el usuario autenticado.

5
5.2. AUTENTIFICACIN

Autenticacin es la verificacin de que el usuario que trata de

identificarse es vlido, usualmente se implementa con una contrasea en el
momento de iniciar una sesin. Existen cuatro tipos de tcnicas que permiten
realizar la autenticacin de la identidad del usuario, las cuales pueden ser
utilizadas individualmente o combinadas (autenticacin de varios factores):

5.2.1. Autentificacin basada en conocimientos

Este tipo de autenticadores estn basados en un secreto compartido por el

usuario y el sistema de informacin. Es lo que todos conocemos como una
contrasea, que le va servir al usuario para autenticarse referente al sistema.
Como se trata de un secreto compartido hay que proteger este secreto desde
ambos lugares.

No se tienen que almacenar las contraseas en claro es decir que deben guardar
cifradas, por que si alguien tienen acceso al archivo de contraseas y estn en
claro quedamos desprotegidos.

La seguridad de las contraseas se ve afectada por diversos factores que se

mencionan a continuacin:

Fortaleza de la contrasea: deben ser largas, normalmente ms de 7

caracteres, y se deben usar combinaciones de letras maysculas y
minsculas, nmeros y smbolos.
Formas de almacenar las contraseas: se debe usar un algoritmo
criptogrfico irreversible (o funcin resumen), los ms comunes son
MD5 y SHA1.
Longevidad de la contrasea: deben ser cambiadas con cierta
periodicidad.

El problema de las contraseas dbiles es que se puede hacer ataques por

diccionario o combinacin de diccionario con nmero y en muchos de los
casos dan con el resultado, por ejemplo: John the Ripper

6
5.2.2. Autentificacin basada en posesin

Esta consiste en tener una tarjeta u objeto inteligente que tenga

un microprocesador y memoria que se pueda implementar como una
herramienta de autenticacin.

Por ejemplo para poder evitar transmitir la contrasea en clara por parte
de un usuario, esta tarjeta la puede cifrar antes de transmitirla. Otra
posibilidad es que el dispositivo genere contraseas con una frecuencia
de 30 segundos, en forma sincrnica con el sistema que va hacer la
autenticacin.

Los dispositivos que se emplean para este propsito son tarjetas

inteligentes similares a las bancarias, anillos Java, tarjeta que se
insertan a una computadora. Uno de los inconvenientes problema es
que se pueden perderse o daarse impidiendo al usuario el acceso.

Hay una gran variedad de estos dispositivos:

Tarjetas con cdigo de barras.
Tarjetas de plstico con banda magntica.
Tarjetas con plstico con registro laser
Tarjetas con memoria o tarjetas con memoria y procesador.

5.2.3. Autentificacin basada en caractersticas fsicas

Este tipo de autenticadores se basan en caractersticas fsicas del

usuario. El reconocimiento de patrones, la inteligencia artificial y el
aprendizaje son utilizados para el desarrollo de sistemas de
identificacin biomtricos.

Estos sistemas son ms amigables para el usuario, no va a

necesitar recordar contraseas o nmeros de identificacin complejos,
y como se suele decir, el usuario puede olvidar una tarjeta de
identificacin en casa, pero nunca olvidar una parte de su cuerpo. Son
mucho ms difciles de falsificar que una simple contrasea o una
tarjeta magntica; las principales razones por la que no se han impuesto
ya en la actualidad es su elevado precio, fuera del alcance de muchas
organizaciones, y su dificultad de mantenimiento

Los sistemas antes mencionados son los denominados

biomtricos, que se basan en rasgos personales distintivos con
capacidad de identificar a una persona. Se clasifican en:

7
 Fisiolgicos: huella dactilar, iris, retina, cara, geometra de la mano,
huella palmar, estructura de la venas, estructura de la oreja, termografa
facial.

Conductuales: voz, escritura, firma manuscrita, modo de teclear,

modo de andar.

Tabla 1. Resumen de las caractersticas biomtricas

Caractersticas Huella Mano Retina Iris Rostro Firma Voz

Facilidad de uso Alta Alta Baja Intermedia Intermedia Alta Alta

Resequeda Heridas, Anteojos Mala Mala Cambios Ruido,

d,suciedad edad iluminaci iluminaci intrnsecos clima
Causas de error ,edad n n, edad,
anteojos,
cabello

Precisin Alta Alta Muy alta Muy alta Alta Alta Alta

Aceptacin Intermedia Intermedia Intermedia Intermedia Intermedia Intermedia Alta

Nivel de Alta Alta Intermedia Alta Muy alta Intermedia Intermedia

seguridad

Estabilidad a Alta Intermedia Alta Intermedia Alta Alta Intermedia

largo plazo

5.2.4. Autentificacin basada en la posicin

Desde cualquier punto de la Tierra se pueden recibir seales de

hasta 12 satlites de los 27 que tiene la red de geoposicionamiento que
mantiene el gobierno de los EE.UU. Los dispositivos
geoposicionadores (GPS) reciben estas seales y las usan para calcular
la latitud, longitud y altura sobre el nivel del mar en que se encuentran.

La fortaleza de la autenticacin es mayor mientras ms factores se adicionen,

generalmente solo se utilizan hasta 3 factores:

1 factor = contrasea
2 factores = contrasea + token
3 factores = contrasea + token + biometra
4 factores = contrasea + token + biometra + localizacin geogrfica (GPS)
5 factores = contrasea + token + biometra + localizacin geogrfica + perfil
de usuario

8
5.3. AUTORIZACIN

La autorizacin es el procedimiento para determinar si el usuario o

proceso previamente identificado y autenticado tiene permitido el acceso a los
recursos. Se implementa con uno de los siguientes modelos de control de
acceso.

5.3.1. Control de acceso obligatorio (MAC)

Este mecanismo de acceso se complementa con anteriores y

aade una capa ms de seguridad para el control de acceso y de
privilegios. El mecanismo MAC se basa en un "etiquetado" de todo
elemento del sistema y sobre las cuales se aplicarn las polticas de
control de acceso configuradas. De este modo, cualquier operacin de
un sujeto sobre un objeto ser comprobado las etiquetas y aplicando las
polticas MAC establecidas para determinar si la operacin est
permitida, an incluso cuando se hayan cumplido otros controles de
seguridad. En contraste con el mecanismo discrecional de acceso, el
usuario puede modificar permisos y etiquetas pero no puede fijar
controles de acceso que supongan violacin de las polticas MAC del
sistema. Es responsabilidad de un usuario privilegiado establecer las
polticas centrales MAC que gobernarn los controles a aplicar segn el
etiquetado establecido. Paradigmas representativos de estos mtodos de
control son SELinux en distribuciones Linux Redhat/Centos/Fedora o
AppArmor en Linux SuSE.

5.3.2. Control de acceso discrecional (DAC)

Es un mtodo de restriccin de acceso a objetos que se basa en

la identidad de los sujetos que pretenden operar o acceder sobre ellos.
El ejemplo ms representativo es el mecanismo de permisos
establecido por el dueo (usuario/grupo) del sujeto. As, es el propio
dueo del objeto quien determina qu usuarios y con qu privilegios
acceden a sus objetos. Este mecanismo de acceso est presente en la
mayora de sistemas operativos. En este tipo de control de acceso es
habitual el uso de atributos (lectura, escritura, ejecucin,etc) para
marcar los permisos aplicado al objeto. De igual forma hay un usuario
propietario y unas opciones para compartir (grupos, otros usuarios..)

9
 5.3.3. Control de acceso basado en roles (RBAC)

Consiste en la definicin de perfiles (roles) a los que se les

atribuyen una serie de caractersticas que aplican sobre los permisos y
acciones que pueden llevar a cabo, incluyendo el control sobre otros
perfiles. Es, en cierto modo un sistema jerrquico de clases. Muy
utilizado en organizaciones con gran nmero de usuarios y donde se
integran distintos grupos de trabajo o departamentos con funciones
diferenciadas, como por ejemplo departamento de sistemas,
departamento de desarrollo, comercial, servicios generales, etc. Con
este mecanismo se segmenta y se organiza de forma eficaz el acceso a
los objetos y las tareas. Casos muy representativos de estos
mecanismos son entre otros LDAP, Active Directory de Microsoft
Windows o FreeIPA de Fedora/Redhat. Algunos sistemas UNIX como
Solaris o AIX tambin implementan este sistema de privilegios.

6. REFERENCIAS BIBLIOGRFICAS

1. Seguridad informtica. Control de acceso Disponible en:

http://mygnet.net/articulos/seguridad/763/index.php Consultado: 12 de diciembre de
2017.

2. Sistemas de control de acceso. Disponible en

https://www.ecured.cu/Sistemas_de_control_de_acceso#T.C3.A9cnicas_de_identificaci.
C3.B3n_y_autenticaci.C3.B3n Consultado el 12 de diciembre de 2017

3. Lpez, A (11 de diciembre de 2017). Mecanismos bsicos de control de acceso.

Recuperado de : https://www.certsi.es/blog/control-acceso .

10