Diplomado de

seguridad Informática
Ing. Angel Cruz
Email: ing.angel_cruz@Outlook.com
Cel: 829-857-8281
Capitulo II:
Control de
Acceso.
  Principios de seguridad para administración de la red.
 Seguridad por capas.
 Propósito y función de servicios de autenticación.
Contenido del  Como elegir el método apropiado de autenticación, autorización y
capitulo. control de acceso, según el escenario.
 Instalar y configurar controles de seguridad basado en mejores
practicas.
  Concluido el capitulo las personas participantes estarán en la
Objetivo del capacidad elegir los controles de seguridad basado en las mejores
practicas, identificar los distintos mecanismo de autenticación
capitulo. disponibles y configurar reglas de administración y control de la
seguridad de los sistemas basado en estándares..
  Terminado el capítulo las personas participantes estarán en la
capacidad de:
 Identificar los componentes de los controles de seguridad
Objetivos administrativa.
 Recomendar, según las mejores practicas de seguridad, los
especifico. mecanismo de autenticación a usar.
 Describir el funcionamiento de los mecanismo de seguridad.
 Instalar y configurar controles de seguridad.
Identificación
Vs
Autenticación.
  La autenticación se realiza en base a factores que permiten validar
la identidad de quien dice ser algo o alguien. Estos factores
pueden ser:
 Algo que conoce: Pin, contraseña etc.
Autenticación  Algo que tiene: Token, tarjeta RFID, Smart card, soft token etc.
 Algo que es: Huellas dactilares, escaneo retinal, escaneo facial etc.
 Algo que haces: Una acción que permita termina la autenticación.
 Lugar: Basado en la ubicación geográfica.
Autenticación
  Es el método de
Autenticación autenticación más básico con
de factor único el que se dispone, por lo
general suele basarse en un
(single factor usuario y una contraseña,
ambos únicos para el
SFA). sistema.
  Es un método de
autenticación más seguro y
hasta cierto punto más
Autenticación complejo que el SFA. Por lo
general se combinan 2
multi-factor. factores de autenticación por
lo que también se le llaman
autenticación de 2 factores.
  El termino seguridad por
Seguridad por capas implica que disponer
de múltiples capaz de
capa o defensa seguridad con el propósito de
cubrir las necesidades de
profunda. seguridad a través de más de
un sistema.
  Es un enfoque de seguridad que va orientado en a unificar la
seguridad de la red con la seguridad de los equipos finales. Este
enfoque toma en cuenta las operaciones del día a día y los
“incidentes” que surgen. Dentro del enfoque NAC se toma en
cuenta factores como:
Control de  Enlaces a otras redes.
acceso a la red  Planes de backup y recuperación.
 Puntos de acceso a la red.
(NAC).  Entre otros.

 La seguridad operaciones no se enfoca en la parte física de la red,

sino mas bien en la parte lógica y las conexiones.
  Son similares a los
certificados de usuario
utilizados para identificar y
autenticar las sesiones de
usuario. Estos contienen los
accesos y privilegios de
Tokens accesos de los usuarios
configurados a través del
software con las secuencias
del software del token.
Existen soluciones de
software llamados soft token
y hardware especializado.
  Las federaciones son un grupo de redes que operan en base a los
mismos estándares, políticas y procesos. Por lo general, estas
asociaciones o grupos de redes guardan relaciones entre sí para
ser interoperables. Ejemplo: BHD-LEON.
Federaciones.  Un identificador de federación es una manera de poder conectar la
identidad de un usuario con sus privilegios de manera que pueda
conectarse dentro de cualquier organización dentro de la
federación. Algunos ejemplos son: Microsoft Passport, azure,
google checkout.
Acceso
transitivo.
  Compartir claves.
 Claves fáciles o sencillas.
Claves de  Claves complicadas.

usuario.  Falsos positivos (deshabilitar cuentas por error)

 Usuarios de vacaciones, licencias o nuevos.
 Políticas muy estrictas o muy sencillas.
  Las políticas de aplicación a cuentas de usuario deben contemplar
los siguientes puntos:

Políticas de 
Longitud de clave y complejidad.
Vencimiento de clave (histórico de clave).
cuentas.  Recuperación de claves.
 Deshabilitar, remover y bloquear sesiones.
  Uso de múltiples cuentas por un mismo usuario.
Políticas de  Uso de cuentas genéricas o por defecto.
cuentas de  Políticas de grupo / Políticas por usuario.
usuario.
  PAP (Password Authentication Protocol)
Protocolos de  SPAP(Shiva Password Authentication Protocol)

autenticación.  CHAP (Challenge Handshake Authentication Protocol)

 TOTP (Time-Based One-Time Password).
 HOTP (HMAC- Based One-Time Password).
  Enlaces de redes, servicios, servidores, usuarios, etc a redes
externas.
Conectividad  Enlaces de la red interna con red o redes externas.
Remota.  Enlace entre sucursales.
 Enlace con servicios, servidores o aplicaciones en la nube.
Protocolo PPP.
  Agregan la versatilidad a las redes ya que permite crear túneles
entre redes que son más seguros, soporta que otros protocolos
atraviesen dichos túneles y también permite contar con enlaces
virtuales en la red. Dentro de estos tenemos los siguientes
Protocolos de protocolos:
 PPTP (Point to Point Tunneling Protocol).
tunneling.  L2F (Layer 2 Forwarding).
 L2TP (Layer 2 Tunneling Protocol).
 SSH (Secure Shell).
 Ipsec (Internet Protocol Security).
  RADIUS (Remote Authentication Dial-In User Service)
Protocolos de  TACACS/TACACS+/XTACACS (Terminal Acces Controller Access-
Control System)
autenticación.
  Security Assertion Markup Language, es un estándar abierto
basado en XML que es usado para la autenticación y autorización.
SAML SAML es utilizado para validar la identidad de un usuario que esta
accediendo a un servicio.
SAML
Servicios de  LDAP (lightweight Directory Access Protocol)

autenticación.  Kerberos.
Single Sign-
On.
  Mandatory Access Control (MAC).
Métodos de  Discretionary Access Control (DAC).
controles de  Role-Based Acces Control (RBAC).

acceso.  Rule-Based Access Control (RBAC).

 Lattice-Based Control (LBAC).
  Es un método de control de
acceso totalmente inflexible
en cual todos los permisos,
accesos y aplicaciones a los
Mandatory que tienen accesos los
usuarios están pre
Access Control configurados por el
administrador. Este proceso
(MAC) hace que la seguridad sea
totalmente rígida y agrega
una carga administrativa
incremental según el tamaño
de la organización.
  En este modelo los usuarios
Discretionary cuenta con la flexibilidad en
relación a como estos pueden
Access Control acceder y compartir
información en la red. Tienen
(DAC). la desventaja de que dicha
flexibilidad agrega
vulnerabilidades a la red y la
información.
Role-Based  Este método de control de acceso, se basa en el role del usuario en
Acces Control la organización y los requerimientos mínimos para cumplir con
dicho role. En este sentido, las políticas y controles se aplican a
(RBAC). nivel del role, limitando la flexibilidad a los usuarios que la
requieren.
Role-Based
Acces Control
(RBAC).
  En el caso de control de acceso basado en reglas, se usan controles
de accesos pre configurados a través de políticas de seguridad que
son las que se encargan de tomar las decisiones. Las reglas actúan
como un Access List, permitiendo lo que tenga un “Permit” y
denegando lo que tenga un “Deny”. Las entradas en las listas de
Rule-Based control pueden ser:
Access Control  Direcciones IP.
(RBAC).  Usuarios.
 Nombres de equipos.
 Nombres de dominios.
 Nombres de servicios.
Comparación.
  Least Privileges (privilegios minimos).
 Separacion de funciones.
 Restricciones de horario.
Mejores  Revisiones de los accesos de usuario.
practicas para  Smart Cards (Tarjetas inteligentes).
implementació  Common Access Card (DoD).
n de políticas  Personal Identification Verification Card (Federal) .

controles de  Access Control List (ACL).

 Reglas de Firewall
acceso.
 Port Security (Seguridad de puerto).
 Network Bridging.