Control de Acceso Discrecional y ACL

Questions and Answers

¿Cuál de las siguientes afirmaciones describe correctamente el atributo de 'Lectura' en la gestión de accesos?

Permite eliminar el archivo.

Permite leer el archivo pero no hacer cambios. (correct)

Permite cambiar los permisos del archivo.

Permite leer y modificar el archivo.

En un sistema DAC, ¿qué puede hacer un usuario que tenga 'Control total' sobre un archivo?

Leer y ejecutar el archivo únicamente.

Acceder al archivo sin necesidad de permisos.

Eliminar el archivo y cambiar sus permisos. (correct)

Sólo modificar el contenido del archivo.

¿Cuál es la función principal de una lista de control de acceso (ACL)?

Registrar todas las actividades de los usuarios en los archivos.

Proteger archivos mediante encriptado.

Definir qué nivel de autorización se concede a los sujetos para acceder a un objeto específico. (correct)

Eliminar usuarios no autorizados del sistema.

Cuando un software malicioso se instala en un sistema mediante un ataque de ingeniería social, ¿qué derechos hereda generalmente?

Todos los derechos y permisos del usuario que lo instaló.

¿Qué nivel de acceso tiene un usuario con permisos de 'Cambio' en un archivo?

Puede leer, escribir, ejecutar y eliminar el archivo, pero no cambiar los permisos.

¿Qué elemento se corresponde con las filas en una matriz de control de acceso?

Capacidades.

¿Cómo puede un correo electrónico infectado comprometer la seguridad del sistema de un usuario?

Porque puede instalarse en el sistema sin que el usuario lo sepa y heredar sus permisos.

¿Cuál es un posible inconveniente del sistema DAC en términos de seguridad?

Permite que el malware actúe con los permisos del usuario.

¿Cuál es la razón por la que Judy no puede acceder a la hoja de cálculo del roster?

No tiene el derecho de acceder a esa información.

En un sistema MAC, ¿qué se utiliza para tomar decisiones de acceso?

La combinación de clearance y nivel de necesidad de conocimiento.

¿Qué función principal tienen los guardias de software en sistemas de seguridad?

Permitir la interconexión entre sistemas de diferentes niveles de seguridad.

¿Cuál de las siguientes afirmaciones es correcta respecto a los sistemas de seguridad MAC?

Los sistemas MAC aplican un control de acceso estricto.

En un sistema DAC, ¿qué se compara para tomar decisiones de acceso?

La identidad del sujeto con la ACL del recurso.

¿Qué tipo de comunicación es común entre sistemas de seguridad de diferentes niveles?

El sistema más confiable envía mensajes y el menos confiable solo recibe confirmaciones.

¿Qué se puede hacer con los guardias de hardware?

Conectar sistemas que operan a diferentes niveles de seguridad.

Las etiquetas de seguridad y las etiquetas de sensibilidad son términos que:

Son utilizados de manera intercambiable.

¿Qué aspecto principal se considera en el control de acceso basado en riesgos?

La probabilidad de un evento multiplicada por su impacto

¿Cuál de los siguientes factores NO se considera al evaluar la solicitud de acceso de David?

Cuál es su salario

En el contexto de control de acceso, ¿qué representa la 'historia de riesgos'?

Los resultados de solicitudes de acceso similares en el pasado

En un modelo de control de acceso basado en riesgos, ¿qué categoría incluye el rol del usuario?

Contexto del usuario

¿Qué tipo de acceso permite que los propietarios de datos decidan sobre el acceso a los recursos?

DAC

¿Cuál es el propósito de los sistemas operativos en el modelo MAC?

Aplicar la política de seguridad del sistema mediante etiquetas de seguridad

El acceso basado en riesgos se basa en la comparación del riesgo estimado con qué tipo de umbral?

Umbral tolerable máximo

¿Qué sucede si una organización no tiene una cultura de secretismo y ha enfrentado filtraciones?

El riesgo asociado a las solicitudes de acceso se considerará bajo

¿Cuál es la función principal del SPML?

Intercambiar datos de aprovisionamiento entre aplicaciones

¿Qué entidad es responsable de hacer solicitudes de creación o cambio de cuentas en SPML?

Requesting Authority (RA)

¿Qué problema común aborda el uso de SPML en organizaciones grandes?

Gestión automatizada de cuentas y derechos de acceso

¿Cuál de las siguientes no es una de las entidades principales en SPML?

User Management Service (UMS)

¿Qué variedad de lenguajes se basa SPML para su estructura?

XML

¿Cuál es una ventaja del uso del SPML en el aprovisionamiento de cuentas?

Mejora la estandarización y reduce errores

En un sistema utilizando SPML, ¿qué función cumple el Provisioning Service Target (PST)?

Recibir y ejecutar las solicitudes de aprovisionamiento

¿Qué desafío se menciona en la gestión de usuarios en organizaciones grandes?

Complejidad en la creación de cuentas y derechos de acceso

¿Cuál de las siguientes afirmaciones sobre RADIUS es correcta?

RADIUS solo cifra la contraseña del usuario durante la transmisión.

¿Cuál es la principal ventaja de TACACS+ sobre RADIUS?

TACACS+ cifra todos los datos transmitidos entre el cliente y el servidor.

En el contexto de la configuración de acceso remoto, ¿qué decisión debe tomar un administrador de red como Tomika?

Decidir qué base de datos de credenciales de usuarios remotos mantener.

¿Cuál de las siguientes funcionalidades es separada en la arquitectura de TACACS+?

Autenticación, autorización y contabilidad.

¿Qué tipo de datos se envían en texto claro cuando se utiliza RADIUS?

Información de contabilidad y nombres de usuario.

¿Cuál es uno de los principales riesgos asociados al uso de RADIUS?

La exposición a ataques de repetición debido a la falta de cifrado.

Al decidir entre RADIUS y TACACS+, ¿qué opción ofrece TACACS+?

Definición de perfiles de usuario más detallados.

¿Qué significa que TCP sea un protocolo orientado a conexión?

Establece una conexión previa antes de transmitir datos.

Study Notes

### Control de acceso discrecional (DAC)

•  DAC se aplica a la estructura del árbol de directorios y a los archivos que contiene.
•  Microsoft Windows tiene permisos de acceso: Sin acceso, Lectura (r), Escritura (w), Ejecución (x), Eliminación (d), Cambio (c) y Control Total.
•  El atributo de Lectura permite leer el archivo pero no realizar cambios.
•  El atributo de Cambio permite leer, escribir, ejecutar y eliminar el archivo, pero no permite cambiar las ACL o el propietario de los archivos.
•  Control Total permite hacer cualquier cambio en el archivo y sus permisos y propiedad.

Listas de control de acceso (ACL)

•  Las ACL son listas de sujetos autorizados a acceder a un objeto específico, y definen el nivel de autorización concedido.
•  La autorización puede ser específica para un individuo, grupo o función.
•  Las ACL se utilizan en varios sistemas operativos, aplicaciones y configuraciones de enrutadores.
•  Las ACL asignan valores de la matriz de control de acceso al objeto.
•  Una capacidad corresponde a una fila en la matriz de control de acceso, La ACL corresponde a una columna de la matriz.

Desafíos al usar DAC

•  Los sistemas DAC proporcionan flexibilidad al usuario y menos administración para TI, pero también es el talón de Aquiles de los sistemas operativos.
•  El malware puede instalarse y trabajar bajo el contexto de seguridad del usuario.
•  Si un usuario abre un archivo adjunto infectado con un virus, el código puede instalarse en segundo plano sin que el usuario sea consciente de esta actividad.
•  Este código hereda todos los derechos y permisos que tiene el usuario y puede realizar todas las actividades que el usuario puede realizar en el sistema.
•  Puede enviar copias de sí mismo a todos los contactos que figuran en el cliente de correo electrónico del usuario, instalar una puerta trasera, atacar otros sistemas, eliminar archivos del disco duro y mucho más.

Control de acceso obligatorio (MAC)

•  En las implementaciones de MAC, el sistema toma decisiones de acceso comparando la autorización del sujeto y el nivel "necesidad de saber" con la etiqueta de seguridad del objeto.
•  En las implementaciones de DAC, el sistema compara la identidad del sujeto con la ACL del recurso.

Guardias de software y hardware

•  Los guardias de software y hardware permiten el intercambio de datos entre sistemas y entornos de confianza (alta seguridad) y menos confiables (baja seguridad).
•  Si se trabaja en un sistema MAC (trabajando en el modo de seguridad dedicado de secreto) y se necesita que este se comunique con una base de datos MAC (trabajando en modo de seguridad multinivel, que llega hasta el secreto de alto nivel), los dos sistemas proporcionarían diferentes niveles de protección.
•  Si un sistema con menor seguridad puede comunicarse directamente con un sistema de alta seguridad, entonces se pueden introducir vulnerabilidades y riesgos de seguridad.
•  Un guardia de software es un producto de front-end que permite la interconectividad entre sistemas que trabajan en diferentes niveles de seguridad.
•  Los diferentes tipos de guardias se pueden utilizar para llevar a cabo filtrado, procesamiento de solicitudes, bloqueo de datos y limpieza de datos.
•  Un guardia de hardware es un sistema con dos tarjetas de interfaz de red (NIC) que conectan los dos sistemas que necesitan comunicarse entre sí.
•  Los guardias se pueden utilizar para conectar diferentes sistemas MAC que funcionan en diferentes modos de seguridad y se pueden usar para conectar diferentes redes que funcionan en diferentes niveles de seguridad.
•  En muchos casos, el sistema menos confiable puede enviar mensajes al sistema más confiable y solo puede recibir confirmaciones.
•  Esto es común cuando los mensajes de correo electrónico necesitan ir de sistemas menos confiables a sistemas clasificados más confiables.

Control de acceso basado en el riesgo (RBAC)

•  El control de acceso basado en el riesgo evalúa el riesgo, que es la probabilidad de un evento multiplicado por su impacto.
•  RBAC considera factores como el contexto del usuario, la sensibilidad del recurso, la gravedad de la acción y el historial de riesgos.

Modelos de control de acceso

•  Los modelos de control de acceso DAC y MAC son importantes de comprender.
•  Los modelos DAC son utilizados por los propietarios de datos para decidir quién tiene acceso a los recursos y las ACL se utilizan para aplicar estas decisiones de acceso.
•  Los modelos MAC son utilizados por los sistemas operativos para aplicar la política de seguridad del sistema a través del uso de etiquetas de seguridad.
•  Los sistemas MAC proporcionan una amplia gama de seguridad, especialmente en el tratamiento del malware.

Servicio de lenguaje de aprovisionamiento de servicios (SPML)

•  SPML permite el intercambio de datos de aprovisionamiento entre aplicaciones, que pueden residir en una organización o en muchas.
•  SPML automiza la gestión de usuarios (creación, modificaciones, revocación de cuentas) y la configuración de derechos de acceso relacionados con los servicios publicados electrónicamente a través de múltiples sistemas de aprovisionamiento.
•  Permite la integración e interoperación de las solicitudes de aprovisionamiento de servicios en varias plataformas.

RADIUS

•  RADIUS encripta la contraseña del usuario solo cuando se está transmitiendo desde el cliente RADIUS al servidor RADIUS.
•  Otra información, como el nombre de usuario, la contabilidad y los servicios autorizados, se pasa en texto sin cifrar.
•  Esto es una invitación abierta para que los atacantes capturen información de sesión para ataques de reproducción.
•  Los proveedores que integran RADIUS en sus productos deben comprender estas debilidades e integrar otros mecanismos de seguridad para protegerse contra este tipo de ataques.

### TACACS+

•  TACACS+ encripta todos los datos transmitidos entre el cliente y el servidor.
•  TACACS+ usa una arquitectura AAA verdadera, que separa las funcionalidades de autenticación, autorización y contabilidad.
•  TACACS+ facilita la definición de perfiles de usuario más granulares, los cuales pueden controlar los comandos que pueden ejecutar los usuarios.

Description

Este cuestionario evalúa tus conocimientos sobre el control de acceso discrecional (DAC) y las listas de control de acceso (ACL). Aprenderás sobre los diferentes niveles de permisos en Microsoft Windows y cómo funcionaban las ACL en diversos sistemas. Profundiza en estos conceptos clave de la seguridad informática.