Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Capítulo 11 Autorización y Control de Acceso
Capítulo 11 Autorización y Control de Acceso
OBJETIVOS DE CERTIFICACIÓN
N
Si tiene una comprensión de la autenticación y los diferentes tipos
de métodos y protocolos de autenticación, está preparado para
dominar el control de acceso. Después de que un usuario se auten-
tica en la red, debe estar autorizado para realizar tareas y acceder
a diferentes recursos. Como profesional de la seguridad, autoriza a las
personas a realizar diferentes tareas mediante un método de control de
acceso. Este capítulo presenta los conceptos de control de acceso y analiza
los métodos comunes de implementación del control de acceso dentro de
la organización y en la red.
Categoría de controles
El otro punto clave a recordar sobre los controles de seguridad son las
diferentes clases. Algunos controles de seguridad están diseñados para
corregir un problema, mientras que otros pueden estar ahí para detectar
un problema. En la lista siguiente se identifican las diferentes clases de
controles de seguridad:
■ Falso positivo La prueba vuelve a ser verdadera (positiva), pero los resul-
tados de la prueba son incorrectos (falsos) y la prueba debería haber sido
falsa. Por ejemplo, el software antivirus bloquea erróneamente un
archivo, pensando que tiene un virus cuando no lo tiene, o un filtro de
spam marca erróneamente un mensaje como correo no deseado cuando
no lo es.
■ Falso negativo La prueba arroja false (negativo), pero los resultados son
erróneos (falso). En realidad, la prueba debería haber vuelto como cierta.
Desde el punto de vista de la seguridad, es importante probar los con-
troles de seguridad en busca de resultados inexactos, como falsos posi-
tivos y falsos negativos, y luego ajustar la configuración del control para
reducir estos resultados incorrectos.
Denegar implícitamente
Privilegio mínimo
Separación de funciones
Rotación de puestos
En el Capítulo 2, aprendió que su empresa debe hacer cumplir las vaca-
ciones obligatorias para detectar actividades fraudulentas o sospechosas
dentro de la organización por parte de otro empleado que asume el rol de
trabajo mientras alguien está de vacaciones. Las vacaciones obligatorias
también mantienen alta la moral de los empleados y mantienen al em-
pleado fresco. Así como es importante hacer cumplir las vacaciones obli-
gatorias, también debe emplear la rotación de trabajos dentro del nego-
cio. La rotación de trabajos garantiza que diferentes empleados realicen
diferentes roles de trabajo de forma regular. Esto también ayudará a de-
tectar actividades fraudulentas dentro del negocio.
FIGURA 11-2
FIGURA 11-3
Con MAC, el nivel de holgura debe ser igual o mayor que la etiqueta de
sensibilidad.
EJERCICIO 11-1
Identidades
EJERCICIO 11-2
■ Acceder a este ordenador desde la red Este derecho controla quién puede
conectarse al sistema desde toda la red.
■ Permitir el inicio de sesión local Este derecho controla quién puede sen-
tarse en el equipo e iniciar sesión.
■ Cambiar la hora del sistema Este derecho controla quién puede ajustar la
hora en la computadora.
■ Tomar posesión de archivos u otros objetos Este derecho controla quién
puede tomar posesión de archivos, carpetas o impresoras. El propietario
de un recurso puede cambiar los permisos del recurso en cualquier
momento.
EJERCICIO 11-3
______________________________________________________________
______________________________________________________________
Permisos NTFS
Al configurar permisos NTFS, tenga en cuenta que solo tiene tres nive-
les de permisos que asignaría:
■ Modificar El permiso Modificar otorga todos los permisos para Leer, pero
también permite a alguien modificar el archivo, eliminar el archivo y
crear nuevos archivos si el permiso está asignado a una carpeta.
■ Control total Este permiso permite a la persona realizar todas las tareas
del permiso Modificar, pero también le permite cambiar los permisos y
tomar posesión de los archivos.
Permisos de Linux
■ Leer (R): 4
■ Escritura (W): 2
■ Ejecutar (X): 1
Tres entidades pueden tener estos tres permisos para un archivo o car-
peta: el propietario del archivo, un grupo y todos los demás. Recuerde del
Capítulo 7 que para cambiar el permiso, puede usar chmod (modo de
cambio) y modificar el permiso colocando un número para representar el
permiso deseado para cada uno de los tres marcadores de posición. El
siguiente comando otorga permisos de lectura, escritura y ejecución
(sumando matemáticamente hasta 7) al propietario del archivo, al grupo
y a todos los demás:
Los routers Cisco tienen una característica conocida como listas de ac-
ceso que se utiliza para controlar qué tráfico puede entrar o salir de la
red. Al configurar listas de acceso, se agregan reglas para especificar el
tráfico que puede entrar o salir de la red, y la primera regla que se aplica
a un paquete es la regla que sigue el paquete. Los routers Cisco tienen dos
tipos comunes de listas de acceso: listas de acceso estándar y listas de ac-
ceso extendido.
Los routers Cisco tienen una regla implícita de negar todo en la parte
inferior de la lista de acceso, por lo que puse en la parte inferior mi
propia regla para permitir todo el tráfico. Esto significa que, a menos que
se especifique lo contrario, se permitirá todo el tráfico.
Para ver las listas de acceso que se han configurado en su router Cisco,
puede utilizar el comando show ip access-lists. La siguiente lista de
código muestra la lista de acceso 157, creada anteriormente:
Directivas de grupo
Los entornos de Microsoft permiten proteger los sistemas mediante las di-
rectivas de seguridad locales de un único sistema o configurar las op-
ciones de seguridad en varios sistemas mediante directivas de grupo. Las
directivas de grupo se utilizan para configurar una gran cantidad de op-
ciones en los sistemas de la red:
■ Instalar software Con las directivas de grupo, puede tener software instal-
ado automáticamente en los equipos cliente cuando el equipo se inicia o
cuando el usuario inicia sesión.
■ Permisos del sistema de archivos Con las directivas de grupo, puede im-
plementar permisos en diferentes carpetas.
EJERCICIO 11-4
EJERCICIO 11-5
Otra gran parte del control de acceso es poner restricciones en sus cuen-
tas de usuario. La primera restricción importante es garantizar que todos
los empleados tengan una cuenta de usuario con la que iniciar sesión y
que se use una contraseña segura con esas cuentas de usuario.
Vencimiento de la cuenta
Bloqueo de cuenta
Inhabilitación de la cuenta
Es importante como profesional de la seguridad que haga hincapié a los
administradores de red que las cuentas no utilizadas deben deshabili-
tarse para que no se puedan usar. Esto ayudará a proteger la cuenta del
uso no autorizado por parte de empleados o incluso piratas informáticos.
Asegúrese de desactivar las cuentas cuando los empleados se vayan de li-
cencia, sean suspendidos del servicio o sean despedidos.
Uno de los comandos más útiles que he encontrado al trabajar con cuen-
tas de usuario o solucionar problemas de cuentas de usuario es el co-
mando net user. Al usar el comando net user, puede proporcionar el
nombre de una cuenta de usuario y, a continuación, agregar el modifi-
cador /domain para que el comando recupere información de la cuenta
de Active Directory, como el nombre de la cuenta, el tiempo de expiración
de la cuenta, la información de contraseña y las restricciones de la
estación de trabajo.
■ Privilegios asignados por el usuario Puede haber ocasiones en las que de-
cida asignar el privilegio a un usuario en lugar de a un grupo. Desea min-
imizar esto, ya que los roles de trabajo de los empleados cambian y esto
significa que deberá cambiar los privilegios asignados a ese empleado. La
gestión de grupos sería un mejor enfoque a seguir.
Cada usuario del sistema debe tener su propia cuenta de usuario, y se debe
evitar el uso de cuentas de usuario compartidas con fines de auditoría.
Recuerde que al conceder acceso, siempre es una buena idea conceder ac-
ceso a los grupos y, a continuación, colocar a los usuarios en los grupos.
Esto le permite administrar la seguridad trabajando con menos objetos
(los grupos).
Los derechos y permisos se pueden configurar en el sistema para proteger
los recursos. Un derecho es un privilegio para realizar una tarea, mien-
tras que un permiso es un nivel de acceso a un recurso como un archivo o
carpeta.
Hay una serie de pasos que puede seguir para proteger los datos confiden-
ciales en una base de datos. Debe usar permisos para controlar a qué ob-
jetos de base de datos puede tener acceso un usuario y cifrar cualquier
dato confidencial, como números de tarjetas de crédito en la base de
datos.
AUTOEVALUACIÓN
A. Cortafuegos
B. Cifrado
D. Evaluación de empleados
2. Mientras implementaba los controles físicos en su entorno, instaló un sis-
tema de alarma antirrobo. ¿Qué clase de control es un sistema de alarma
antirrobo?
A. Lógica
B. Detective
C. Medidas preventivas
D. Correctivo
A. Privilegio mínimo
B. Denegación implícita
Separación de funciones
D. Rotación de puestos
A. MAC
B. CAD
C. RBAC
D. Correctivo
5. ¿Qué modelo de control de acceso implica tener privilegios asignados a
los grupos para que cualquier persona que se coloque en el grupo tenga
ese privilegio?
A. Recursos
B. Datos
C. Archivo
D. Objeto
8. Está configurando un firewall para permitir que solo pasen ciertos pa-
quetes. ¿Qué tipo de modelo de control de acceso se está utilizando?
A. RBAC
B. GBAC
C. MAC
D. ABAC
A. Denegación implícita
B. Privilegio mínimo
Separación de funciones
D. Rotación de puestos
B. chmod
C. ls
D. chperm