Informatica
Páginas: 12 (2962 palabras)
Publicado: 28 de abril de 2010
“La seguridad no es un producto, es un proceso”
Administración de la Seguridad
Disponibilidad
Objetivos de la Seguridad
Integridad
Confidencialidad
Objetivos de la Seguridad
Integridad
Información Exacta, Completa e inmodificable sin autorización
Confidencialidad
Certeza de que la información no se revela a individuos, programas o procesos no autorizados
SeguridadDisponibilidad
Asegura el acceso a Información, Sistemas y Recursos cuando se requieran y de manera confiable, previa autorización.
Área de responsabilidad de la administración de redes
• El objetivo es gestionar:
– Riesgo – Políticas de Seguridad de la Información – Procedimientos, estándares, directrices y líneas de base – Clasificación de la información – Organización de la seguridad –Educación en materia de seguridad
Control de Acceso
IAA
• Identification
– Describe un método para asegurar que un sujeto (usuario, programa o proceso) es la entidad que dice ser. La identificación puede ser un nombre de usuario o un número de cuenta.
• Authentication
– Proporciona un mecanismo para validar la identidad del sujeto a través de “algo” que el sujeto sabe, tiene o es.
•Authorization
– Determina si el sujeto tiene los derechos y privilegios necesarios para llevar a cabo las acciones requeridas.
Mecanismos de Identificación
• Biométricos:
– – – – – – – – – – Huella digital Escaneo de la palma Geometría de la mano Escaneo de retina (patrones de venas) Escaneo de iris (patrones de colores, divisiones, anillos, coronas, surcos, etc.) Dinámica de la firmaautógrafa Dinámica de tecleo Patrón de voz Escaneo facial Topografía de la mano (valles, picos, curvaturas)
Mecanismos de Autenticación
• Contraseñas
– Ataques: monitoreo electrónico, acceso al archivo de contraseñas, fuerza bruta, por diccionario, ingeniería social. – Protección: verificadores de contraseñas, cifrado y hash de contraseñas, caducidad de contraseñas, intentos limitados, contraseñascognitivas, contraseñas de un solo uso
Contraseñas
• Contraseñas de un solo uso:
– Dispositivos token
• Síncrono: Sincronización con el servidor por tiempo o contador. • Asíncrono: Utiliza un esquema reto/respuesta en el que el servidor envía un valor aleatorio que cifrado constituye la clave de entrada.
• • • •
Llaves criptográficas: Llaves privadas. Passphrase Tarjetas de memoria:sólo mantienen información Tarjetas inteligentes: tienen capacidad de procesar
Autorización
• Criterios de acceso:
– – – – – – – Roles: basado en las funciones o asignación de trabajo. Grupos: Necesidades uniformes de acceso. Ubicación lógica o física Por tiempo Por tipo de transacción Valor por defecto: No acceso Según la necesidad de conocimiento
Autorización
• Single sign-on
–Kerberos: Protocolo de autenticación que utiliza un KDC (Key Distribution Center) y tickets. Se basa en llaves de cifrado simétricas. – SESAME (Secure European System for Applications in a Multi-vendor Environment): Protocolo de autenticación que utiliza un Privileged Attribute Server (PAS) y Privileged Attribute Certificates (PACs). Se basa en cifrado simétrico y asimétrico. – Servicios de Directorio:Se utiliza cuando los recursos operan bajo la misma política de seguridad y se administran por el mismo grupo. – Thin Clients: Terminales que confían en un servidor central para control de acceso, procesamiento y almacenamiento.
Técnicas y tecnologías de control de acceso
• Control de Acceso basado en reglas:
– – Utiliza reglas específicas que indican qué puede y qué no puede suceder entreun sujeto y un objeto dado. Se basa en el concepto de reglas de programación “si X entonces Y”, lo cual puede ser utilizado para proporcionar control de acceso granular a los recursos. Restringen las capacidades de acceso de los usuarios al no permitirles solicitar ciertas funciones o información, o tener acceso a recursos del sistema específicos. Hay tres tipos principales de interfaces...
Administración de la Seguridad
Disponibilidad
Objetivos de la Seguridad
Integridad
Confidencialidad
Objetivos de la Seguridad
Integridad
Información Exacta, Completa e inmodificable sin autorización
Confidencialidad
Certeza de que la información no se revela a individuos, programas o procesos no autorizados
SeguridadDisponibilidad
Asegura el acceso a Información, Sistemas y Recursos cuando se requieran y de manera confiable, previa autorización.
Área de responsabilidad de la administración de redes
• El objetivo es gestionar:
– Riesgo – Políticas de Seguridad de la Información – Procedimientos, estándares, directrices y líneas de base – Clasificación de la información – Organización de la seguridad –Educación en materia de seguridad
Control de Acceso
IAA
• Identification
– Describe un método para asegurar que un sujeto (usuario, programa o proceso) es la entidad que dice ser. La identificación puede ser un nombre de usuario o un número de cuenta.
• Authentication
– Proporciona un mecanismo para validar la identidad del sujeto a través de “algo” que el sujeto sabe, tiene o es.
•Authorization
– Determina si el sujeto tiene los derechos y privilegios necesarios para llevar a cabo las acciones requeridas.
Mecanismos de Identificación
• Biométricos:
– – – – – – – – – – Huella digital Escaneo de la palma Geometría de la mano Escaneo de retina (patrones de venas) Escaneo de iris (patrones de colores, divisiones, anillos, coronas, surcos, etc.) Dinámica de la firmaautógrafa Dinámica de tecleo Patrón de voz Escaneo facial Topografía de la mano (valles, picos, curvaturas)
Mecanismos de Autenticación
• Contraseñas
– Ataques: monitoreo electrónico, acceso al archivo de contraseñas, fuerza bruta, por diccionario, ingeniería social. – Protección: verificadores de contraseñas, cifrado y hash de contraseñas, caducidad de contraseñas, intentos limitados, contraseñascognitivas, contraseñas de un solo uso
Contraseñas
• Contraseñas de un solo uso:
– Dispositivos token
• Síncrono: Sincronización con el servidor por tiempo o contador. • Asíncrono: Utiliza un esquema reto/respuesta en el que el servidor envía un valor aleatorio que cifrado constituye la clave de entrada.
• • • •
Llaves criptográficas: Llaves privadas. Passphrase Tarjetas de memoria:sólo mantienen información Tarjetas inteligentes: tienen capacidad de procesar
Autorización
• Criterios de acceso:
– – – – – – – Roles: basado en las funciones o asignación de trabajo. Grupos: Necesidades uniformes de acceso. Ubicación lógica o física Por tiempo Por tipo de transacción Valor por defecto: No acceso Según la necesidad de conocimiento
Autorización
• Single sign-on
–Kerberos: Protocolo de autenticación que utiliza un KDC (Key Distribution Center) y tickets. Se basa en llaves de cifrado simétricas. – SESAME (Secure European System for Applications in a Multi-vendor Environment): Protocolo de autenticación que utiliza un Privileged Attribute Server (PAS) y Privileged Attribute Certificates (PACs). Se basa en cifrado simétrico y asimétrico. – Servicios de Directorio:Se utiliza cuando los recursos operan bajo la misma política de seguridad y se administran por el mismo grupo. – Thin Clients: Terminales que confían en un servidor central para control de acceso, procesamiento y almacenamiento.
Técnicas y tecnologías de control de acceso
• Control de Acceso basado en reglas:
– – Utiliza reglas específicas que indican qué puede y qué no puede suceder entreun sujeto y un objeto dado. Se basa en el concepto de reglas de programación “si X entonces Y”, lo cual puede ser utilizado para proporcionar control de acceso granular a los recursos. Restringen las capacidades de acceso de los usuarios al no permitirles solicitar ciertas funciones o información, o tener acceso a recursos del sistema específicos. Hay tres tipos principales de interfaces...
Leer documento completo
Regístrate para leer el documento completo.