3 - Identidad y Control de Acceso.pdf
Document Details
Uploaded by DelicateCloisonnism1146
Universidad Nacional Autónoma de México
Tags
Full Transcript
Seguridad en Informática Identidad y Control de Accesos Control de Accesos Flujo de un Acceso Un sujeto requiere tener acceso a un objeto o a los datos/información que el objeto contiene. Un acceso es la...
Seguridad en Informática Identidad y Control de Accesos Control de Accesos Flujo de un Acceso Un sujeto requiere tener acceso a un objeto o a los datos/información que el objeto contiene. Un acceso es la transferencia de datos entre objetos y sujetos Objeto Sujeto (elemento (elemento pasivo) activo) Los controles de acceso son las medidas o mecanismos que definen cómo el sujeto interactúa con el objeto Control de Acceso Es el mecanismo de seguridad que determina quién puede ver, usar, modificar o destruir activos, tanto físicos como de información ¿Para qué sirve el control de accesos? ✓ ¿Quién tiene acceso a los recursos? ✓ ¿A qué recursos tiene acceso una persona? ✓ ¿Qué operaciones puede realizar? ✓ Se debe garantizar la responsabilidad / trazabilidad (accountability) del usuario sobre sus acciones Identificado Accesos Autenticado Sujeto Objeto (elemento (elemento activo) pasivo) Criterios: Autorizado ✓ Roles ✓ Grupos ✓ Localización ✓ Tiempo ✓ Tipo de transacción Identificación, Autenticación, Autorización y Accountability Identificación, Autenticación, Autorización y Accountability ¿Quién uso la cuenta de admin y borró los registros que no eran? Identificación, Autenticación, Autorización y Accountability Factores de autenticación Identificación, Autenticación, Autorización y Accountability Derechos Privilegios Sé quién eres, Acciones ¿ahora qué te voy a Sujeto permitir hacer? Matriz de control de accesos ¿El sujeto tiene Si permisos Otorga el sobre el Acceso objeto? Objeto No Rechaza el acceso Identificación, Autenticación, Autorización y Accountability (Trazabilidad) ¿Importa el orden de la I+AAA? Un usuario puede estar correctamente identificado y autenticado en la red, pero puede no tener la autorización para acceder a los archivos del servidor de archivos. Por otro lado, un usuario puede estar autorizado para acceder a los archivos del servidor de archivos, pero hasta que no esté correctamente identificado y autenticado, esos recursos estarán fuera de su alcance. Por lo anterior si es necesario que se cumplan los pasos del I+AAA en el orden requerido. Condición de Carrera (Race Condition) Ocurre cuando dos o más Un atacante puede forzar procesos utilizan el mismo recurso que el paso de autorización y las secuencias de pasos dentro se realice antes del paso del software pueden llevarse a de autenticación y obtener cabo en un orden incorrecto, algo acceso no autorizado a un que puede afectar drásticamente recurso. el resultado. 1 Autorización 2 Autenticación ¿Puedo comparar con más de una identidad? One-to-One / One-to-Many SAP Mutual Authentication /Autenticación Mutua Mutual Authentication - Proceso Fin de la Identidad y Control de Accesos
