Principales mecanismos para control de acceso légico. El activo més importante que se poseen las organizaciones es la informacién, y por lo tanto deben existir técnicas mas allé de la seguridad fisica que la asegure, estas técnicas las brinda la seguridad légica. El control de acceso légico es la principal linea de defensa parala mayoria de sistemas, permitiendo prevenir el ingreso de personas no autorizadas a su informacién. Para controlar el acceso se emplean 2 procesos: identificacién y autenticacion. ‘Se denomina identificacién al momento en que el usuario se da a conocer en elsistema; yautenticaciéna la verificacién que realiza el sistema sobre esa identtficacién. Es ms eficiente que los usuarios sean identificados y autenticados sélo una ver, pudiendo a partir de ahi acceder a todas las aplicaciones y datos a los que permita su perfil, tanto local como remotamente. Esto se denomina single login o sincronizacién de passwords. Una posible técnica de implementacién de esta identificacién Unica seria el uso de un servidor de autenticaciones sobre el que los usuarios se identifican y que se encarga posteriormente de autenticarlos sobre los restantes equipos a los que pueden acceder. Este servidor no debe ser necesariamente un equipo independiente, pudiendo tener sus funciones distribuidas tanto geogréfica como ldgicamente. Es el caso de servidores LDAP ‘en GNU/Linux y Active Directory en Windows Server. Los sistemas de control de acceso protegidos con contrasefia, suelen serun punto critico de la seguridad y suelen recibir distintos tipo de ataques. Los mas comunes son: ‘* Ataques de fuera bruta: se intenta recuperar la clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso. Cuanto mas corta, mas sencilla de obtener probando combinaciones. © Ataque de diccionario: intentar averiguar una clave probando todas las palabras de un diccionario 0 conjunto de palabras comunes. Este tipo de ataque suele ser més eficiente que un ataque por fuerza bruta, ya que los usuarios suelen usar una palabra existente en su lengua como contrasefia. Una forma sencilla de proteger un sistema contra los ataques de fuerza bruta o los basados en diccionario es establecer un numero maximo de tentativas, bloqueando el sistema automaticamente después de un nimero de intentos infructuosos predeterminado. Politica de contrasefias Para que una contrasefia sea segura se recomiend: ‘+ Longitud minima: cada cardcter en una contrasefia aumenta exoonencialmente el grado de proteccién que ésta ofrece. Las contrasefias deben contener un minimo de 8 caracteres, aunque lo ideal es que tenga 14 caracteres o mas.* Combinacién de caracteres (letras mintsculas, maytisculas, numeros y simbolos especiales): cuanto més diversos sean los tipos de caracteres de la contrasefia més dificil sera adivinarla. Para una ataque de fuerza bruta de una contrasefia de 5 caracteres en minuscula (27 caracteres diferentes), el numero de combinaciones a probar seria de 275=14.348.907. Siuséramos maydsculas y mindsculas el nimero de combinaciones seria ‘Ademés, a fin de evitar contrasefias poco seguras se recomienda: ‘+ No incluir secuencias ni caracteres repetidos ‘+ Noutilizar el nombre de inicio de sesién ‘© No utilizar palabras de diccionario de ningun idioma Usar varias contrasefias para distintos entornos Evitar la opcién de contrasefia en blanco ‘+ No revelar la contrasefia a nadie y no escribirla en equipos que no controlas ‘+ Cambiar las contrasefias con regularidad Control de acceso en la BIOS La BIOS es el nivel més bajo de software, que configura o manipula el hardware de un ordenador. En la BIOS podemos configurar cualquier pardmetro referente al hardware, de qué ispositivo arrancard en primer lugar o parémetros mas comprometidos como el voltaje suministrado al ndcleo del microprocesador. Por este motivo tendremos que proteger nuestra BIOS de manera que sélo un administrador del sistema pueda cambiar los valores de la configuracién. Segtin la versién y marca, la seguridad de la BIOS se puede configurar de distintas formas. Estableceremos una clasificacién sobre los niveles de seguridad que suele tener: ‘© Seguridad del sistema (system): en cada arranque de la maquina nos pedira ‘que introduzcamos una contrasefia que previamente se ha configurado en la BIOS, sin ella el sistema no arrancara.‘+ Seguridad de configuracién de la BIOS (setup): en este apartado se suelen Gistinguir 2 roles aplicables: Usuario-Sélo lectura y Administrador- Lectura/Modificaciones. Esta seguridad es muy vulnerable ya que la BIOS puede resetearse devolviéndola a sus valores de fabrica (quitando la pila o a través de la conexién del jumper CLR_CMOS al. lado de la pila). Un simple candado que asegure la apertura de la torre podria ser suficiente para evitarlo. Otra forma de resetearla es con una distribucin Live (como Ultimate Boot CD) 0 con el ordenador arrancado bajo Windows ejecutando cmos_pwd, ambos encuentran y borran contrasefias. Por lo que es muy importante cuidar la fortaleza de la contrasefia de la BIOS. Peligros de distribuciones Live! ‘Son innumerables los sistemas operativos arrancables desde unidades extraibles en modo Live sin necesidad de formatear e instalarlos en disco. Estos sistemas incluyen gran cantidad de aplicaciones de recuperacién de datos y contrasefias de usuarios. Algunas de estas distribuciones son: ‘+ Ultimate Boot CD (UBCD): posee en un entorno simulado Windows aplicaciones ‘como antivirus, recuperacién de datos, aplicaciones de recuperacién y borrado de contrasefias dela BIOS, borrado y restitucion de nuevas contrasefias de usuarios de sistemas Windows instalados en disco, incluso creacién de nuevas cuentas de usuario administrador. ‘+ Backtrack: distribucién especifica con un conjunto deherramientas de auditorias de seguridad, entre otras algunas que permiten escalada de privilegios en sistemas Windows (opherack) y GNU/Linux (John the ripper). ‘+ Ophcrack: distribucién especifica que contiene la aplicacion homénima con capacidad de extraer contrasefias de usuarios en sistemas Windows. ‘+ Slax: distribucién muy ligera (arrancable desde USB) que permite el montaje y acceso a los sistemas de ficheros instalados en disco. © Wifiway y Wifislax: distribuciones orientadas a realizar auditorias wireless. En lamayoria de los casos desde estas distribuciones es posible acceder a las particiones ysistemas de ficheros de forma transparente, comprometiendo asi la seguridad de los datos y ficheros. Para evitar su uso se debe configurar el arranque para que siempre se realice en primer lugar desde el disco duro donde estén instalados los sistemas operatives y configurar con contrasefia el setup de la BIOS.Contrasefia en el gestor de arranque Cuando tenemos instalado varios sistemas operativos solemos emplear un gestor de ~arranque para seleccionar el sistema con el que arrancamos. Uno de los mas populares con sistemas operativos GNU/Linux es GRUB. En este gestor, la opcién de recovery mode de sistemas GNU/Linux tiene el propésito de recuperacién en caso de fallo del sistema, pero también puede ser usada para recuperar y modificar contrasefias de administrador o incluso acceder a informacion del disco duro. ‘Aun teniendo esta opcién restringida, editando alguna de las entradas del meni (pulsando Ia tecla e) y sustituyendo el texto que aparece desde el literal ro por bin/bash, podriamos conseguir que a través de esta opcién del ment podamos ejecutar una linea de comandes con permisos de root (control total sobre el sistema). Por todo esto, es conveniente: + Afiadir una contrasefia encriptada al modo de recuperacién ‘+ Aiiadir una contrasefia encriptada al meni de edicién Control de acceso en el Sistema Operativo ‘Aunque es posible acceder a un sistema operative mediante biometria, atin sigue siendo el més utilizado el acceso por contrasefia asociada a la cuenta de usuario. Existen métodos para poder acceder a los sistemas operativos sin control de contrasefia: en GNU/Linux mediante el modo recuperacién, en Windowsen Modo a prueba de fallos o mediante CTRL+ALT+SUPR identificando al usuario Administrador sin clave, en ambos mediante distribuciones Live que recuperan contrasefias. Deberemos hacer uso de ese tipo de herramientas para auditar nuestros sistemas con respecto a las credenciales de acceso al sistema operativo y ver su nivel de fortaleza, ya que dependiendodel nivel de nuestras contrasefias no siempre seré posible recuperarlas. Politica de usuarios y grupos Uno de los aspectos fundamentales de la seguridad, y en la administracién de sistemas, €s ladefinici6n de cuentas de usuario y su asignacién a perfiles determinados, grupos 0 roles, asi como la asignacién de privilegios sobre los abjetos del sistema. Para abordarlo deberemos:ir puestos: Identificar los distintos puestos, analizando las funciones que realizan y los permisos minimos de acceso requeridos por cada uno de ellos. ‘+ Clasificar la informacién: Determinar el riesgo que supondria un accesoa ella de usuarios no autorizados. Los distintos niveles de informacién requerirén distintos niveles de seguridad. Es conveniente comenzar definiendo las medidas de seguridad sobre la informacién més sensibleo las funciones mas criticas y avanzar siguiendo un orden de prioridad descendiente. Riesgos que se logran abordar mediante el control de acceso Iégico EI riesgo se define como una amenaza que explota la vulnerabilidad de un activo pudiendo causar dafios. El riesgo se encuentra relacionado con el uso, propiedad, ‘operacién, distribucin y la adopcién de las tecnologias de la informacion de la empresa. ar Aunque no existe un método concreto de cémo gestionar riesgos, se recomienda util un proceso estructurado, sistemstico y riguroso de andlisis de riesgos para la creacién del plan de tratamiento de riesgos. Los indicadores de riesgo muestran sila empresa se encuentra sujeta o tiene alta probabilidad de ser sometida a un riesgo que excede el riesgo permitido. Identificacin de riegos Un evento solo es un riesgo si existe un grado de incertidumbre. El valor de un activo puede cambiar su valor durante la ejecucién de un proyecto, por experiencia esto es cierto pero éCudnto puede cambiar? No lo sabemos. Por lo tanto es un riesgo que ‘debemos evitar en un proyecto pequefio. Debemos estar seguros de identificarel riesgo en realidad y no sus causas 0 efectos. Si consideramos otro ejemplo, debemos instalar una determinada aplicacién de software en varias sucursales de una organizacién, pero no todas las oficinas poseen la misma capacidad de almacenamiento 0 de las tltimas actualizaciones de sistemas operativos. ‘+ Es un riesgo la instalaci6n? No, es un requisito. ‘+ é€s un riesgo de que alguna sucursal termine sin usar la aplicacién? No, este es un efecto en este proyecto, sin embargo puede ser un riesgo futuro que la sucursal no tenga la aplicacién. ‘+ é£s un riesgo que la aplicacién no se pueda instalar por algdn motivo? Si, es incierto, solo lo sabremos cuando los intentemos. Ejemplos de riesgos en IT + Aplicaciones en condiciones vulnerables‘+ Sistemas operativos, vulnerables y sin actualizaciones ‘© Disefiar aplicaciones inapropiadas, incompletas, con bugs y errores recurrentes + Tecnologias obsoletas Mal rendimiento de la infraestructura IT Evaluacién de los riesgos Es necesario establecer un vinculo entre los escenarios de riesgos IT y el impacto ‘empresarial que estaos generarian, para asi comprender el efecto de los eventos adversos que se pueden desencadenar. La evaluacién de riesgos se ejecuta en los puntos discretos de tiempo y hasta que el rendimiento de la préxima evaluacién proporciona una visién temporal de los riesgos evaluados. La evaluacién de riesgos se realiza a menudo en més de una interacién, la primera es una evaluacién de alto nivel para identificar los riesgos altos, mientras que las interacciones posteriores detallan el anilisis de los riesgos principales y tolerables. Varios factores ayudan a seleccionar eventos con cierto grado de riesgo: © Probabilidad © Consecuencias + Ocurrencia © Urgencia + Maleabilidad © Dependencia © Proximidad La evaluacién de riesgos requiere de los siguientes puntos: + Unestudio de la vulnerabilidad, amenazas, probabilidad, pérdidas y la eficacia de las medidas de seguridad. Los directivos de la empresa utilizan los resultados de la evaluacién del riesgo para desarrollar los requisitos de seguridad y sus especificaciones. + Elproceso de evaluacién de amenazas y vulnerabilidades, para estimar el efecto producido en caso de pérdidas y establecer el grado de aceptacién y aplicabilidad de las operaciones del negocio. ‘+ Identificar los activos y las facilidades que pueden ser afectadas por las ‘amenazas y vulnerabilidades. ‘+ Andlisis de los activos del sistema y las vulnerabilidades para establecer un estimado de pérdida esperada en caso de que ocurra ciertos eventos y la probabilidad estimada cuando ocurra. El propésito de una evaluacién del riesgoes determinar si las contramedidas son adecuadas para reducir la probabilidad de la pérdida o impacto de la pérdida dentro del nivel aceptable. + 5 unaherramienta de gestién que proporciona un enfoque sistemético que determine el valor relativo a: la sensibilidad al instalar activos informaticos, la evaluacién de vulnerabilidades, la evaluacién de la expectativa de pérdidas, la percepcién de los niveles de exposicién al riesgo, la evaluacién de las caracteristicas de proteccién existentes, las alternativas adicionales de proteccién, la aceptacién de riesgos y la documentacién de las decisiones de gestion. Software ISO 27001 El Software ISO Tools Excellence para la norma ISO 27001, se encuentra capacitado para responder a numerosos controles para el tratamiento de la informacion gracias a las aplicaciones que contiene y que son totalmente configurables segun los requerimientos de cade organizacién. Ademés, este software permite la automatizacién del Sistema de Gestién de Seguridad de la Informacién. Cuadro comparativo de control de acceso ldgico en diferentes plataformas (sistemas operativos, equipos de redes, etc.). = Linux: SELinux Security-Enhanced Linux (SELinux) es una arquitectura de seguridad para los sistemas Linux® que permite que los administradores tengan mayor control sobre las personas ‘que pueden acceder a ellos. Originalmente, la Agencia de Seguridad Nacional (NSA) de Estados Unidos desarrollé este producto como una serie de parches para el kemel de Linux utilizando los médulos de seguridad de Linux (LSM). (Hat, s.f.) Diferencias entre el control de acceso discrecional (DAC) y el control de acceso obligatorio (MAC) Los sistemas Linux y UNIX siempre han utilizado el DAC, mientras que SELinux es un ejemplo de un sistema MAC para Linux.Con el DAC, los archivos y los procesos tienen propietarios, que pueden ser usuarios, grupos 0 cualquier persona. Los usuarios pueden cambiar los permisos de sus propios archivos. Con un sistema DAG, el superusuario tiene control de acceso total, lo cual le permite acceder a los archivos de los demés o ejecutar cualquier otra acci6n en el sistema. ‘Sin embargo, en los sistemas MAC, como SELinux, hay una politica de acceso establecida a nivel administrativo. Inciuso si se modifica la configuracién de DAC en el Girectorio principal, la politica establecida de SELinux protegerd el sistema que otro usuario 0 proceso acceda al directorio. Las politicas de SELinux le permiten ser especifico y abarcar una gran cantidad de procesos. Puede realizar modificaciones con SELinux para limitar el acceso entre usuarios, archivos, directorios y més. Kali Linux Kali Linux, esta distribucién es una de las mas conocida en el aspecto de la seguridad informatica est basada en Debian. Kali Linux tiene una variedad de ms de 600 de herramientas relacionada con la seguridad informatica para enumerar algunas de ellas ‘empezamos con nmap que permite hacer un escaneo de los puertos habilitados y por lo cual podemos observar el trénsito de la maquina, encontramos la herramienta wireshark que es un analizador de protocolos en red en tiempo real, la suite Aircrack- ng (programa para testeo de redes inalémbricas) y su proyecto Metasploit el cual permite explorar las vulnerabilidades del sistema operativo de forma muy educativa. = Windows’ Active Directory Active Directory 0 también llamado AD o Directorio Activo, es una herramienta perteneciente a la empresa de Microsoft que proporciona servicios de directorio normalmente en una red LAN. Lo que es capaz de hacer este directorio activo es proporcionar un servicio ubicado en uno o varios servidores capaces de crear objetos como usuarios, equipos o grupos para administrar las credencias durante el inicio de sesién de los equipos que se conectan a una red. Pero no solamente sirve para esto, ya que también podremos administrar las politicas de absolutamente toda la red en la que se encuentre este servidor. Esto implica, por ejemplo, la gestién de permisos de acceso de usuarios, bandejas de correo personalizadas, etc. Fundamentalmente esté orientada al uso profesional, en entornos de trabajo con importantes recursos informaticos en donde se necesario administrar gran cantidad de‘equipos en cuanto a actualizaciones o instalacién de programas o la creacién de archivos centralizados para poder acceder a los recursos de forma remota desde las estaciones de trabajo. Es la forma ideal de centralizar muchos de los componentes tipicos de una red LAN sin necesidad de ir equipo por equipo y evitando que los usuarios puedan hacer lo ‘que quieran en una red. — al nition Ea ‘Azure Active Directory (AD) . oud Pris i 5 Ag 5 8 3 a> QS 8¥60 Identity Providers System Center System Center le ayuda a administrar sus entornos de Tl entre centros de datos tradicionales, nubes publicas y privadas, computadoras cliente y dispositives. Por medio de estas caracteristicas de administracién automatizada todos los servicios serdn confiables para su negocio. System Center captura y agrega conocimientos acerca de los sistemas, las politicas, los procesos y mejores practicas, de modo que puede optimizar su infraestructura para reducir costos, mejorar disponibilidad de aplicaciones y mejorar la prestacién de servicios. System Center proporciona una administracién total desde la PC hasta el centro de datosRadius RADIUS (Remote Authentication Dial In User Service) es un protocolo estandar de Intemet que proporciona servicios centralizados de gestién de autenticacién, contabilidad e IP para los usuarios de acceso remoto en una red de acceso telefénico distribuida. El modelo cliente-servidor de RADIUS tiene un servidor de acceso a red (NAS) que funciona como cliente para un servidor RADIUS. El sistema, al actuar como NAS, envia informacion de usuario y conexién a un servidor RADIUS designado, mediante el protocolo estdndar de RADIUS definido en la RFC 2865. Los servidores RADIUS actdan en las peticiones de conexién de usuario recibidas autenticando al usuario y luego devuelven toda la informacién de configuracién necesaria al NAS, para que el NAS (el sistema] pueda prestar servicios autorizados al usuario autenticado que accede por llamada telefénica. Sino es posible establecer contacto con un servidor RADIUS, el sistema puede direccionar las peticiones de autenticacién a un servidor alternativo. Ello permite a las ‘empresas globales prestar a los correspondientes usuarios un servicio de acceso por llamada telefénica con un ID de usuario de inicio de sesién exclusivo para el acceso corporativo amplio, con independencia del punto de acceso que se utilice. grafia https://ayudaleyprotecciondatos.es/2020/12/30/seguridad-logica, https://sites.google.com/site/seguridadyaltadisponibilidadcv/t5—control- de-acceso-logico Libro Costas, Seguridad y Alta Disponibilidad