CONTROL DE ACCESO LGICO

VICTOR CHENG

Qu es Seguridad?

Consideraciones para disear sistemas seguros

Polticas
Modelo de amenaza
Mecanismos

Por qu es difcil disear sistemas seguros?

Para qu trabajo tanto si nunca voy a poder disear sistemas

perfectamente seguros?

Riesgo vs Beneficio

Desarrollo de nuevos mecanismos

Control de acceso lgico

Qu es y para qu sirve?

Identificacin

Autenticacin

Autorizacin

Rendicin de cuentas

Qu herramientas, protocolos o metodologas usamos en el

control de acceso lgico?

Passwords
Separacin de privilegios
Gestin de usuarios privilegiados
Encriptacin
Firewalls
Controles biomtricos
Logs, etc

Passwords

Evolucin de autenticacin de passwords

Texto plano

Hash

Hash(password)
Top 5000 passwords 20% de usuarios
Millones de hash por segundo

Derivacin de llaves criptogrficas

Hash(KDF(password))
Rainbow tables

Salting

Hash((password,salt))

 Transmisin de passwords

Texto plano
Conexin encriptada
Challenge/Response
Anti-hammering

Separacin de privilegios

Permisos en el sistema de archivos de UNIX

Sujeto: proceso
Objetos: archivos, directorios, sockets de red, procesos, etc

Proceso de login
uid(0)
username, password:

/etc/passwd

/etc/shadow

setuid(uid)
exec(/bin/sh)
setuid binaries

/bin/su

/bin/sudo

setuid(0)

chroot
chroot(/foo) / = /foo
/foo/data.txt = /data.txt
/../etc/passwd = /foo/../etc/passwd
open(/)
file descriptor /foo = fd
chroot(/bar) =/foo/bar
fchdir(fd)
chdir(..)

Servidor web tradicional

el caso de OK Cupid

Servidor web de Ok Cupid