Seguridad en Información y Autenticación

Questions and Answers

PDF Questions PDF Answers

¿Cuál de las siguientes clasificaciones es la más alta en un entorno militar?

No Clasificado

Confidencial

Clasificado

Top Secret (correct)

Las categorías de una etiqueta de seguridad deben ser iguales para acceder a información clasificada.

True

¿Qué es un ejemplo de una categoría que podría usarse en una etiqueta de seguridad?

Inteligencia, operaciones, o un nombre de proyecto como Titan.

En un entorno militar, una clasificación podría ser _____, secreta, confidencial, y no clasificada.

top secret

Empareja las siguientes clasificaciones con su nivel de confianza:

Top secret = Más confiable Secret = Medio confiable Confidencial = Bajo nivel de confianza No clasificado = Sin confianza

¿Qué significa que una persona tiene 'necesidad de saber'?

Solo puede acceder a la información que corresponde a su carga de trabajo.

Una persona con autorización 'Top Secret' puede acceder a toda la información 'Top Secret' sin restricciones.

False

El nombre de la clasificación más alta en una organización comercial es _____ al acceso de información muy sensible.

confidencial

¿Quién es considerado el 'principal' en el ejemplo mencionado?

El usuario

SOAP es un protocolo específico utilizado únicamente para el intercambio de información en servicios de autenticación.

False

¿Qué protocolo común se utiliza para la transmisión de datos SAML?

SOAP

Los servicios web permiten que las ___ se proporcionen en sistemas distribuidos.

funcionalidades

Empareja los siguientes términos con sus definiciones correspondientes:

SAML = Lenguaje utilizado para intercambio de autenticación SOAP = Protocolo para el intercambio de información HTTP = Protocolo de transferencia de hipertexto SOA = Arquitectura orientada a servicios

¿Cuál es un ejemplo de un sistema que puede estar alojado y mantenido por un vendedor?

Salesforce.com

¿Cuál de las siguientes afirmaciones describe mejor RBAC?

Las decisiones de acceso se basan en el rol y/o posición funcional de cada sujeto.

El uso de SAML y SOAP se limita a las aplicaciones locales.

False

ABAC se basa en los atributos de cualquier componente del sistema.

True

¿Qué relación existe entre SAML, SOAP y HTTP en el contexto presentado?

SAML es utilizado para autenticación, SOAP transmite los datos de forma estructurada y HTTP es el protocolo de conexión.

¿Cuál es el propósito principal del Risk BAC?

Estimar el riesgo asociado a una solicitud en tiempo real.

El lenguaje de marcado que se utilizaba para hacer páginas web estáticas es _____.

HTML

Relaciona cada tipo de control de acceso con su definición:

RBAC = Basado en roles y posiciones ABAC = Basado en atributos de componentes Risk BAC = Estimación de riesgo en tiempo real Markup Languages = Estructura y visualización de datos

¿Cuál de los siguientes lenguajes de marcado evolucionó a HTML?

Standard Generalized Markup Language (SGML)

La integración de sistemas de autenticación y autorización es fundamental para la ciberseguridad.

True

Menciona una función principal de los lenguajes de marcado.

Estructurar texto y conjuntos de datos.

¿Qué recibe Emily primero al autenticarse con el KDC?

Un ticket otorgando permiso (TGT)

El KDC es un servidor de autenticación no confiable para los usuarios en un realm.

False

¿Cuál es la función principal del KDC?

Proveer servicios de autenticación a los usuarios y recursos dentro de un realm.

El ticket otorgando permiso se llama __________.

TGT

Relaciona las siguientes partes del proceso de Kerberos con su descripción:

AS = Servicio de autenticación que emite el TGT TGS = Servicio que otorga tickets para acceder a los recursos KDC = Servidor de autenticación que gestiona los realms Principal = Entidades que requieren autenticación (usuarios, aplicaciones, servicios)

¿Qué tipo de clave comparten el usuario y el KDC?

Clave secreta

Una vez que Emily ha sido autenticada, no comparte ninguna clave con el servidor de impresión.

True

¿Qué sucede si Emily ingresa una contraseña incorrecta?

No podrá acceder a su escritorio en la estación de trabajo.

¿Qué envía el propietario del recurso al cliente en el proceso de autorización?

Un código de autorización

El servidor de autorización y el servidor de recursos siempre deben estar en nodos separados.

False

¿Cuál es la función principal de OpenID Connect (OIDC)?

Proporcionar autenticación y autorización en solicitudes de recursos por parte del cliente.

El cliente presenta el ______ al servidor de recursos para acceder al recurso protegido.

token de acceso

Vincula los componentes del proceso de autorización con sus funciones correspondientes:

Propietario del recurso = Envía la solicitud de autorización Servidor de autorización = Negocia el consentimiento Cliente = Recibe el código de autorización Servidor de recursos = Presenta el token de acceso

¿Qué se necesita para verificar la identidad del propietario del recurso?

Un mecanismo de autenticación

OAuth es un marco de autenticación utilizado para verificar identidades.

False

¿Cuál es el propósito principal del token de acceso en el sistema de autorización?

Permitir el acceso al recurso protegido por parte del cliente.

La capa de autenticación simple se llama ______ y se basa en el protocolo OAuth 2.0.

OpenID Connect

Study Notes

Etiqueta de Seguridad

• Las etiquetas de seguridad se componen de una clasificación y categorías
• La clasificación determina el nivel de confianza de la información; cuanto más alta, más confianza
• Las categorías agrupan la información según su tipo o propósito
• Ejemplos de clasificaciones: Top Secret, Secret, Confidential, Unclassified, Proprietary, Corporate, Sensitive
• Las categorías ayudan a implementar un sistema de "necesidad de saber"
• Una persona con autorización de acceso de nivel superior no tiene acceso a toda la información de ese nivel sin autorización adicional
• La autorización se basa en la coincidencia de las categorías del usuario con la información a la que intenta acceder

Sistemas de Autenticación y Autorización

• Los sistemas de autenticación y autorización son fundamentales para la seguridad cibernética
• Estos sistemas trabajan en conjunto para verificar la identidad de los usuarios y controlar su acceso a los recursos
• Los sistemas de autorización basan las decisiones de acceso en:
  • Roles basados en el control de acceso (RBAC): roles y puestos funcionales
  • RBAC basado en reglas (RB-RBAC): reglas adicionales que restringen el acceso
  • Control de acceso basado en atributos (ABAC): atributos de componentes o acciones del sistema
  • Control de acceso basado en riesgos (Risk BAC): estimación del riesgo asociado a una solicitud en tiempo real

Lenguajes de Marcado

• Los lenguajes de marcado, como el HTML, estructuran el texto y los conjuntos de datos
• El XML (Extensible Markup Language) proporciona una forma flexible de definir etiquetas personalizables para datos
• Los lenguajes de marcado son importantes para la autenticación y autorización, ya que facilitan el intercambio de información entre diferentes sistemas y entidades

SAML (Security Assertion Markup Language)

• SAML se usa para el intercambio de información de autenticación, como el inicio de sesión único
• El SAML permite a los proveedores de identidad (IdP) autenticar usuarios y proporcionar información sobre ellos a los proveedores de servicios
• El SAML se puede usar para la autenticación federada, donde un usuario puede acceder a múltiples servicios con una sola cuenta
• Los datos SAML se pueden transmitir a través de protocolos como SOAP (Simple Object Access Protocol)

OAuth (Open Authorization)

• OAuth es un marco de autorización que permite a los usuarios compartir sus recursos con aplicaciones de terceros sin compartir sus credenciales
• OAuth se usa para la autenticación en aplicaciones web y plataformas de redes sociales
• El flujo de autenticación OAuth implica:
  • Solicitud de permiso al propietario del recurso
  • Aprobación del permiso por parte del propietario del recurso
  • Emisión de un token de acceso al cliente

OpenID Connect (OIDC)

• OpenID Connect es una capa de autenticación simple construida sobre OAuth 2.0
• OIDC permite la autenticación y autorización transparente de las solicitudes de recursos del cliente
• OIDC se usa a menudo para autenticar usuarios de aplicaciones web utilizando proveedores de identidad de terceros

Kerberos

• Kerberos es un protocolo de autenticación desarrollado por el MIT
• Kerberos usa una clave secreta compartida entre los usuarios y el servidor de autenticación (KDC)
• Los usuarios obtienen un ticket de concesión de ticket (TGT) del KDC que les permite acceder a otros servicios
• Se utilizan tickets para autentificar entre usuarios y servicios

Proceso de Autenticación Kerberos

• El usuario busca un ticket de concesión de ticket (TGT) del KDC
• El TGT se utiliza para obtener un ticket de servicio para el servicio deseado
• El ticket de servicio permite al usuario acceder al servicio deseado
• Kerberos mejora la seguridad mediante el cifrado de la comunicación entre el usuario y los servicios
• Cada servicio tiene una clave secreta separada que solo el KDC conoce
• Se utiliza una clave de sesión para la comunicación entre el usuario y el servicio

Description

Este cuestionario explora conceptos clave sobre etiquetas de seguridad y sistemas de autenticación y autorización. Aprenderás sobre las clasificaciones de información y cómo facilitan el acceso controlado a los datos, así como la importancia de estos sistemas en la ciberseguridad.