Академический Документы
Профессиональный Документы
Культура Документы
Sección: 1800
N. Grupo: 3
Integrantes:
NIST SP 800-63-3 (Guía de autenticación digital, octubre de 2016) define la Autentificación digital
de usuarios como el proceso de establecer confianza en las identidades de los usuarios.
Que se presentan electrónicamente a un sistema de información. Los sistemas pueden usar la
Autentificación digital para determinar si la persona autenticada está autorizada.
Para realizar funciones particulares, como transacciones de base de datos o acceso al sistema
recursos En muchos casos, la autenticación y transacción, u otras funciones autorizadas, pueden
tener lugar a través de una red abierta como Internet. Igualmente, la autenticación
y la posterior autorización puede tener lugar a nivel local, como a través de una Red local
de área.
Un modelo para la autenticación de usuario digital NIST SP 800-63-3 define un modelo general
El requisito inicial para realizar la autenticación del usuario es que el usuario Debe estar
registrado en el sistema.
1- identificar usuarios del sistema de información, procesos que actúan en nombre de los
usuarios o -dispositivos.
2- autentique (o verifique) las identidades de esos usuarios, procesos o dispositivos, como un
requisito previo para permitir Acceso a los sistemas de información organizacional.
Requisitos de seguridad derivados:
Hay cuatro medios generales para autenticar la identidad de un usuario, que se pueden utilizar
solo o en combinación:
• Algo que el individuo sabe: los ejemplos incluyen una contraseña, una información personal
presentado una credencial que se refiere a su identidad. Más específicamente, La garantía se define
como (1) el grado de confianza en el proceso de selección utilizado para establecer la identidad de
la persona a quien se le emitió la credencial, y (2) el grado de confianza de que el individuo que
niveles de seguridad:
• Nivel 1:
nivel es apropiado es un consumidor que se registra para participar en una discusión en un foro de
• Nivel 2:
para una amplia gama de negocios con el público donde las organizaciones requieren una
acción). En este nivel, algún tipo de autenticación segura. Se debe utilizar el protocolo, junto con
• Nivel 3:
Alta confianza en la validez de la identidad afirmada. Este nivel es apropiado Permitir a los
clientes o empleados acceder a servicios restringidos de alto valor. pero no el valor más alto.
• Nivel 4:
Muy alta confianza en la validez de la identidad afirmada. Este nivel es apropiado para permitir
a los clientes o empleados acceder a servicios restringidos de muy Alto valor o para el que el acceso
electrónico basados en la Web y otros servicios similares requieren que un usuario proporcione no
solo un nombre o identificador (ID) sino también una contraseña. El sistema compara la contraseña
con una contraseña previamente almacenada para ese ID de usuario, mantenido en un archivo de
contraseña del sistema. La contraseña sirve para autenticar El ID del inicio de sesión individual en
solo aquellos que ya tienen una identificación archivada en el sistema son Permitido el acceso.
Administrador o estado de "superusuario" que les permite leer archivos y realizar Funciones
especialmente protegidas por el sistema operativo. Algunos sistemas tener cuentas de invitado o
anónimas, y los usuarios de estas cuentas tienen más Privilegios limitados que otros.
En esta subsección, describimos las principales formas de ataque contra contraseñas basadas en
contraseña Archivo indexado por ID de usuario. Una técnica que se usa típicamente es almacenar
no la La contraseña del usuario, pero una función hash de una sola vía de la contraseña, como se
• Ataque de diccionario sin conexión: por lo general, se usan controles de acceso fuertes para
proteger
El archivo de contraseña del sistema. Sin embargo, la experiencia demuestra que determinados
hackers
con frecuencia puede omitir tales controles y obtener acceso al archivo. El atacante
obtiene el archivo de contraseña del sistema y compara los hashes de contraseña con
hashes de contraseñas de uso común. Si se encuentra una coincidencia, el atacante puede ganar
acceso por esa combinación ID / contraseña. Las contramedidas incluyen controles para
evitar el acceso no autorizado al archivo de contraseñas, medidas de detección de intrusiones
para identificar un compromiso, y una rápida reemisión de contraseñas en caso de que la contraseña
archivo estar comprometido.
• Ataque de contraseña popular: una variación del ataque anterior es usar un popular
contraseña y pruébelo contra una amplia gama de ID de usuario. La tendencia de un usuario es
para elegir una contraseña que sea fácil de recordar; desafortunadamente esto hace que el
Contraseña fácil de adivinar. Las contramedidas incluyen políticas para inhibir la selección.
por usuarios de contraseñas comunes y escaneando las direcciones IP de autenticación
Solicitudes y cookies de clientes para patrones de envío.
• Secuestro de la estación de trabajo: el atacante espera hasta que una estación de trabajo iniciada
la sesión esté desatendida.
La contramedida estándar es el registro automático de la estación de trabajo.
Fuera de un período de inactividad. Esquemas de detección de intrusión pueden ser utilizados para
Detectar cambios en el comportamiento del usuario.
• Explotación de errores del usuario: si el sistema asigna una contraseña, entonces el usuario está
es más probable que lo escriba porque es difícil de recordar. Esta situación
crea la posibilidad de que un adversario lea la contraseña escrita. Un usuario puede
compartir intencionalmente una contraseña, para permitir que un compañero comparta archivos,
por ejemplo.
Además, los atacantes a menudo tienen éxito en la obtención de contraseñas al usar redes sociales.
tácticas de ingeniería que engañan al usuario o un administrador de cuentas para revelar una
contraseña. Muchos sistemas informáticos se envían con contraseñas preconfiguradas
para los administradores de sistemas. A menos que se cambien estas contraseñas preconfiguradas,
son fáciles de adivinar. Las contramedidas incluyen entrenamiento del usuario, detección de
intrusión,
y contraseñas más simples combinadas con otro mecanismo de autenticación.
• Explotación del uso de contraseñas múltiples: los ataques también pueden ser mucho más
efectivos
o dañan si diferentes dispositivos de red comparten la misma o una contraseña similar
para un usuario determinado. Las contramedidas incluyen una política que prohíbe las mismas.
o contraseña similar en dispositivos de red particulares.
• Monitoreo electrónico: si una contraseña se comunica a través de una red para iniciar sesión
En un sistema remoto, es vulnerable a las escuchas ilegales. Cifrado simple será
No solucione este problema, porque la contraseña cifrada es, en efecto, la contraseña
y puede ser observado y reutilizado por un adversario.
AUTENTIFICACIÓN BASADA EN TOKEN
Tarjetas de memoria
Las tarjetas de memoria pueden almacenar, pero no procesar datos. La tarjeta más común es el
banco.
Tarjeta con una banda magnética en la parte posterior. Una banda magnética puede almacenar sólo
un simple Código de seguridad, que puede ser leído (y desafortunadamente reprogramado) por un
económico lector de tarjetas. También hay tarjetas de memoria que incluyen una memoria
electrónica interna.
Las tarjetas de memoria se pueden usar solas para el acceso físico, como una habitación de hotel.
por
autenticación, un usuario proporciona tanto la tarjeta de memoria como algún tipo de contraseña
o número de identificación personal (PIN). Una aplicación típica es un cajero automático.
máquina (cajero automático). La tarjeta de memoria, cuando se combina con un PIN o contraseña,
proporciona Seguridad significativamente mayor que una sola contraseña.
Tarjetas inteligentes
Una amplia variedad de dispositivos califica como tokens inteligentes. Estos pueden ser
• Interfaz de usuario: las interfaces manuales incluyen un teclado y una pantalla para
interacción simbólica.
• Interfaz electrónica: una tarjeta inteligente u otro token requiere una interfaz electrónica
para comunicarse con un lector / escritor compatible.
• Características faciales: las características faciales son los medios más comunes.
de la identificación de humano a humano; Por lo tanto, es natural considerarlos para
identificación por computadora El enfoque más común es definir características.
basado en la ubicación relativa y la forma de las características faciales clave, tales como
ojos cejas Forma de nariz, labios y barbilla. Un enfoque alternativo es utilizar un infrarrojo Cámara
para producir una termo grama de cara que se correlaciona con el subyacente
Sistema vascular en el rostro humano.
• Huellas digitales: las huellas digitales se han utilizado como medio de identificación durante
siglos,y el proceso ha sido sistematizado y automatizado particularmente para
fines de aplicación de la ley.
Una huella dactilar es el patrón de crestas y surcos en la superficie de la yema del dedo. Se cree
que las huellas dactilares son únicas en toda la población humana. En la práctica, el reconocimiento
automático de huellas dactilares y el sistema correspondiente extrae una serie de características de
la huella digital para el almacenamiento como un sustituto numérico para el patrón completo de
huellas dactilares.
• Geometría de mano: los sistemas de geometría de mano identifican las características de la mano,
incluyendo Forma, y largos y anchos de dedos.
• Firma: Cada individuo tiene un estilo único de escritura a mano y esto se refleja
especialmente en la firma, que suele ser una secuencia escrita con frecuencia.
Sin embargo, las muestras múltiples de una sola persona no serán idénticas.
Esto complica la tarea de desarrollar una representación computarizada de la
Firma que puede ser emparejada con futuras muestras.
preguntas.
• Algo que el individuo posee: Los ejemplos incluyen tarjetas magnéticas, tarjetas
inteligentes electrónicas y llaves físicas. Este tipo de autenticador es referido como un
contador.
• Algo que el individuo es (biometría estática): Los ejemplos incluyen el
reconocimiento por huellas dactilares, retina, y la cara.
• Algo que hace que el individuo (biometría dinámica): Los ejemplos incluyen
reconodefinición por el patrón de voz, las características de escritura a mano, y el ritmo
de escribir.
3. ¿Cuáles son los grados de confianza?
R.
• Nivel 1: Poca o ninguna confianza en la validez de la identidad declarada. Un ejemplo
de este nivel, donde es apropiado es un consumidor de registrarse para participar en
una discusión en un panel de discusión web de la empresa. autenticación tech-nique a
este nivel típico sería un ID suministrado por el usuario y la contraseña en el momento
de la transacción.
4. ¿Cuáles son las estrategias y contramedidas que se utilizan para proteger las
contraseñas?
R.
ataque de contraseñas más populares: Una variación del ataque anterior es utilizar
una contraseña popular y probarlo contra una amplia gama de ID de usuario.
Estación de trabajo secuestro: El atacante espera hasta una estación de trabajo que ha
iniciado sesión en es-UNAT tendido.
Huellas digitales: las huellas digitales se han utilizado como medio de identificación
durante siglos, y el proceso ha sido sistematizado y automatizado particularmente para fines
de aplicación de la ley.
Firma: Cada individuo tiene un estilo único de escritura a mano y esto se refleja
especialmente en la firma, que suele ser una secuencia escrita con frecuencia.
Sin embargo, las muestras múltiples de una sola persona no serán idénticas.
Esto complica la tarea de desarrollar una representación computarizada de la
Firma que puede ser emparejada con futuras muestras.
10. ¿Mencione los requisitos que estableció la UAE para sobre el uso de sistemas de
identificación biométrica? R.
• Identificar una sola persona de una gran población de personas.
• Ser asequible.
Mapa conceptual capítulo 3
Capítulo 4
Control de Acceso
NISTIR 7298 (Glossary of Key Information Security Terms, May 2013), define control de
acceso como el proceso de otorgar o denegar solicitudes específicas a obtener y utilizar información
específicas.
RFC 4949, Internet Security Glossary, define el control de acceso como un proceso por cuyo
uso de los recursos del sistema está regulado de acuerdo con una política de seguridad y está
permitido solo por entidades autorizadas (usuarios, programas, procesos u otros sistemas) de
• Autenticación: verificación de que las credenciales de un usuario u otra entidad del sistema
son válidas.
• Autorización: la concesión de un derecho o permiso a una entidad del sistema para acceder
a un recurso del sistema. Esta función determina en quién se confía para un propósito
determinado.
• Auditoría: una revisión y examen independientes de los registros y actividades del sistema
con el fin de comprobar la adecuación de los controles del sistema, para garantizar el
cumplimiento de política establecida y procedimientos operacionales, para detectar
violaciones a la seguridad, y recomendar cualquier cambio indicado en el control, la política
y los procedimientos.
Políticas de control de acceso
Los elementos básicos del control de acceso son: sujeto, objeto y derecho de acceso. Un sujeto
es una entidad capaz de acceder a objetos. En general, el concepto del sujeto se equipará al de
proceso.
Los sistemas básicos de control de acceso típicamente definen tres clases de asignaturas, con
• Propietario: puede ser el creador de un recurso, como un archivo. Para los recursos del
sistema, la propiedad puede pertenecer a un administrador del sistema. Para los recursos
del proyecto, un proyecto. A un administrador o líder se le puede asignar la propiedad.
• Grupo: Además de los privilegios asignados a un propietario, un grupo con nombre de los
usuarios también pueden recibir derechos de acceso, de modo que la pertenencia al grupo
basta con ejercer estos derechos de acceso. En la mayoría de los esquemas, un usuario puede
pertenecer a múltiples grupos.
• Mundo: la menor cantidad de acceso se concede a los usuarios que pueden acceder al
sistema, pero no se incluyen en las categorías de propietario y grupo para este recurso.
Un derecho de acceso describe la forma en que un sujeto puede acceder a un objeto. Los
• Leer: el usuario puede ver información en un recurso del sistema (por ejemplo, un archivo,
seleccionado registros en un archivo, campos seleccionados dentro de un registro, o alguna
combinación). Leer El acceso incluye la posibilidad de copiar o imprimir.
• Escribir: el usuario puede agregar, modificar o eliminar datos en el recurso del sistema
(por ejemplo, archivos, registros, programas). El acceso de escritura incluye acceso de
lectura.
• Ejecutar: El usuario puede ejecutar programas específicos.
• Eliminar: el usuario puede eliminar ciertos recursos del sistema, como archivos o registros.
• Crear: el usuario puede crear nuevos archivos, registros o campos.
• Buscar: el usuario puede listar los archivos en un directorio o buscar de otro modo en el
directorio.
4.3 CONTROL DE ACCESO DISCRECIONARIO
Una dimensión de la matriz consiste en sujetos identificados que pueden intentar acceso de
datos a los recursos. Normalmente, esta lista constará de usuarios individuales o usuarios grupos,
aunque el acceso podría ser controlado por terminales, equipos de red, hosts, o aplicaciones en
El modelo de matriz de control de acceso que hemos discutido hasta ahora asocia un conjunto
Una forma de dominio de protección tiene que ver con la distinción hecha en muchos Los
sistemas operativos, como UNIX, entre el usuario y el modo kernel. Un programa de usuario se
ejecuta en un modo de usuario, en el que ciertas áreas de la memoria están protegidas del uso del
usuario y en el que ciertas instrucciones no pueden ser ejecutadas. Cuando el usuario procesa llama
a una rutina del sistema, esa rutina se ejecuta en un modo de sistema, o lo que ha llegado a ser
llamado modo kernel, en el cual se pueden ejecutar instrucciones privilegiadas y en a qué áreas
La mayoría de los sistemas UNIX dependen, o al menos están basados, en el esquema de control
de acceso a archivos introducido con las primeras versiones de UNIX. Cada usuario de UNIX tiene
asignado un único Número de identificación del usuario (ID de usuario). Un usuario también es
miembro de un grupo primario, y posiblemente un número de otros grupos, cada uno identificado
Muchos sistemas operativos modernos basados en UNIX y UNIX admiten el control de acceso
listas, incluyendo FreeBSD, OpenBSD, Linux y Solaris. En esta sección, describimos FreeBSD,
FreeBSD y la mayoría de las implementaciones de UNIX que admiten el uso de ACL extendidas
la siguiente estrategia:
Los sistemas DAC tradicionales definen los derechos de acceso de usuarios individuales y
grupos de usuarios.
Se pueden incluir una variedad de funciones y servicios en el RBAC general enfoque. Para
aclarar los diversos aspectos de RBAC, es útil definir un conjunto de resumen Modelos de
funcionalidad RBAC.
define una familia de modelos de referencia que ha servido de base para esfuerzos de
normalización en curso.
Modelo base: RBAC0, sin la jerarquía de roles y restricciones, contiene los cuatro tipos de
• Usuario: una persona que tiene acceso a este sistema informático. Cada individuo tiene un
ID de usuario asociado.
• Función: una función de trabajo con nombre dentro de la organización que controla esta
computadora sistema. Típicamente, asociado con cada rol es una descripción de la autoridad
y responsabilidad conferida a este rol, y a cualquier usuario que asuma este rol.
• Permiso: Una aprobación de un modo particular de acceso a uno o más objetos. Los
términos equivalentes son derecho de acceso, privilegio y autorización.
• Sesión: una asignación entre un usuario y un subconjunto activado del conjunto de roles a
la que se asigna el usuario.
Restricciones: las restricciones de RBAC2 proporcionan un medio para adaptar RBAC a los
detalles de las políticas administrativas y de seguridad en una organización. Una restricción es una
Los roles mutuamente excluyentes son roles tales que un usuario puede asignarse a un solo
Rol en el conjunto. Esta limitación podría ser estática, o podría ser dinámica, en el sentir que a un
usuario solo se le puede asignar uno de los roles en el conjunto para una sesión.
Con esta restricción adicional, un mutuamente exclusivo conjunto de roles tiene las siguientes
propiedades:
1. Un usuario solo puede ser asignado a un rol en el conjunto (ya sea durante una sesión o
inactivamente).
2. Cualquier permiso (derecho de acceso) se puede otorgar a un solo rol en el conjunto.
La cardinalidad se refiere a establecer un número máximo con respecto a los roles. Uno de
tales la restricción es establecer un número máximo de usuarios que se pueden asignar a un rol
determinado. Por ejemplo, un rol de líder de proyecto o un rol de jefe de departamento podría estar
atributos Modelo de control de acceso (ABAC). Un modelo ABAC puede definir autorizaciones
que Expresar condiciones sobre propiedades tanto del recurso como del sujeto. Por ejemplo,
considerar una configuración en la que cada recurso tiene un atributo que identifica el sujeto que
creó el recurso.
• Atributos del sujeto: un sujeto es una entidad activa (por ejemplo, un usuario, una
aplicación, un proceso, o un dispositivo) que hace que la información fluya entre objetos o
cambios El estado del sistema. Cada sujeto tiene atributos asociados que definen la
identidad. y características de la asignatura. Tales atributos pueden incluir identificador,
nombre, organización, título del trabajo, etc. El papel de un sujeto también puede ser visto
como un atributo.
• Atributos del objeto: un objeto, también conocido como un recurso, es un pasivo (en el
contexto de la solicitud dada) entidad relacionada con el sistema de información (por
ejemplo, dispositivos, archivos, registros, tablas, procesos, programas, redes, dominios) que
contienen o recibiendo información Al igual que con los sujetos, los objetos tienen atributos
que pueden ser aprovechados.
• Atributos del entorno: estos atributos hasta ahora han sido ampliamente ignorados en La
mayoría de las políticas de control de acceso. Describen la operativa, técnica, e incluso
Entorno situacional o contexto en el que se produce el acceso a la información. Por ejemplo,
atributos, como la fecha y hora actuales, el virus / hacker actual actividades, y el nivel de
seguridad de la red (por ejemplo, Internet vs. intranet), no son asociado a un tema en
particular ni a un recurso, pero aun así puede ser Relevante en la aplicación de una política
de control de acceso.
Políticas ABAC
Una política es un conjunto de reglas y relaciones que rigen el comportamiento permitido dentro
de una organización.
4.7 IDENTIDAD, CREDENCIAL, Y GESTIÓN DEL ACCESO.
pero también puede ser implementado por empresas que buscan un enfoque unificado para
La gestión de identidad se ocupa de asignar atributos a una identidad digital y conectando esa
identidad digital a un individuo o NPE. El objetivo es establecer una identidad digital confiable
Un último elemento de la gestión de identidades es la gestión del ciclo de vida, que incluye lo
siguiente:
otorga a las entidades acceso a los recursos. Abarca tanto lo lógico como lo físico. Acceso, y puede
Se necesitan tres elementos de soporte para una instalación de control de acceso en toda la
empresa:
• Gestión de recursos: este elemento está relacionado con la definición de reglas para un
Recurso que requiere control de acceso.
• Gestión de privilegios: este elemento se refiere al establecimiento y mantenimiento de los
derechos o privilegios que comprenden los derechos de un individuo Perfil de acceso.
• Administración de políticas: este elemento gobierna lo que es permisible y no permitido
en una transacción de acceso.
Federación de identidades
este tema está cargado con numerosas siglas, por lo que es mejor que comience con una
• OpenID: este es un estándar abierto que permite a los usuarios ser autenticados por ciertos
sitios de cooperación (conocidos como partes confiables) que utilizan un servicio de
terceros.
•
Guía del capítulo 4
1. ¿Qué entidades involucran el principio del control de acceso?
R/
• Autenticación: verificación de que las credenciales de un usuario u otra entidad del sistema
son válidas.
• Autorización: la concesión de un derecho o permiso a una entidad del sistema para acceder
a un recurso del sistema. Esta función determina en quién se confía para un propósito
determinado.
• Auditoría: una revisión y examen independientes de los registros y actividades del sistema
con el fin de comprobar la adecuación de los controles del sistema, para garantizar el
cumplimiento de política establecida y procedimientos operacionales, para detectar
violaciones a la seguridad, y recomendar cualquier cambio indicado en el control, la política
y los procedimientos.
2. ¿Cuáles son las categorías en las que se agrupan las políticas de control?
R/
• Control de acceso discrecional (DAC): controla el acceso según la identidad del
solicitante y en las reglas de acceso (autorizaciones) que indican qué solicitantes son (o no)
se les permite hacer. Esta política se denomina discrecional porque una entidad podría tener
derechos de acceso que le permitan a la entidad, por su propia voluntad, permitir otra
entidad para acceder a algún recurso.
• Control de acceso obligatorio (MAC): controla el acceso según la comparación de
seguridad etiquetas (que indican qué tan sensibles o críticos son los recursos del sistema)
con autorizaciones de seguridad (que indican que las entidades del sistema son elegibles
para acceder a ciertos recursos). Esta política se denomina obligatoria porque una entidad
que tiene autorización para acceder a un recurso no puede, solo por su propia voluntad,
permitir que otra entidad acceder a ese recurso.
• Control de acceso basado en roles (RBAC): controla el acceso según los roles que los
usuarios tienen dentro del sistema y en las reglas que indican qué accesos están permitidos
usuarios en roles dados.
• Control de acceso basado en atributos (ABAC): controla el acceso según los atributos
del usuario, el recurso al que se accede y las condiciones ambientales actuales.
6. ¿Qué es la cardinalidad?
R/ La cardinalidad se refiere a establecer un número máximo con respecto a los roles.
Uno de tales la restricción es establecer un número máximo de usuarios que se pueden
asignar a un rol determinado. Por ejemplo, un rol de líder de proyecto o un rol de jefe de
departamento podría estar limitado a un usuario único.