Controles de Acceso

Seguridad en el S.O.
 Control de Acceso

¿Por qué razón es importante el control de acceso?

 Control de Acceso

• Objetivo: resguardar el acceso a la información.

– CONFIDENCIALIDAD
• Definición: Información confidencial
• “será accesible solo por personas o procesos
autorizados”.
– Ejemplos:
• Cuenta bancaria
• Caja fuerte
• Correo electrónico
 Control de acceso

• ISO 27001 definió un Dominio de Control de Acceso cuyo

objetivo es garantizar que el acceso a los sistemas de
información sea realizado sólo por usuarios autorizados.
• Algunos de los tópicos más importantes de la normativa son:
– Requisitos de negocio
– Gestión de usuario
– Control de acceso a la red (NAC)
– Control de acceso al Sistema Operativo
– Control de acceso a las aplicaciones
– Informática móvil y teletrabajo
 Control de acceso

Aspecto normativo:
• Por recomendación de ISO 27002, toda empresa debe
tener una política de control de acceso, por ejemplo:
• La base de clientes de la compañía es información
confidencial y solo pueden acceder a ella los
siguientes roles:
– Gerente Comercial: permiso de lectura y escritura
– Ejecutivo Comercial: permiso de lectura y escritura sobre
sus registros de sus clientes.
– Secretaria Gerencia Comercial: sólo permiso de lectura
 Control de Acceso

Principales uso del control de Acceso:

– Ingreso a Data Center
– Registro de accesos
– Acceso a aplicaciones de negocio
– Perfilamiento
– Transacciones financieras
– Identificación de personas
 Control de Acceso

La principal función del control de acceso es responder:

 Tipos de Control de Acceso

Tipos de control de acceso existentes en la actualidad :

– Disuasivos: intenta evitar un incidente
– Preventivos: intenta prevenir un incidente
– Correctivos: corrige el componente una vez ocurrido un
incidente
– Recuperativos: recupera el control luego de ocurrido un
incidente
– Detectivos: ayuda a detectar un incidente
– Compensatorios: provee una alternativa ante un incidente
– Directivos: tiene fines regulatorios
 Control de acceso

Ejercicio practico:
Escriba un ejemplo por cada uno de los tipos de
control de acceso
Tipo de control de acceso Ejemplo
Disuasivo Cámara de CCTV
Preventivo Torniquete
Correctivo Imagen de reconocimiento
Recuperativo Respaldo
Detectivo Grabación de video
Compensatorio Huella digital con teclado
Directivo Control de asistencia
 Clasificación de Control de Acceso

• De red: opera a nivel de capa de red

– Ejemplo: NAC, Firewall IP, WiFi
• De plataforma: opera a nivel de capa de sesión
– Ejemplo: Logon de Windows
• De aplicación: opera a nivel de capa de aplicación
– Ejemplo: acceso a una base de datos, correo electrónico
 Control de Acceso

• Iniciativa AAA: se refiere a los atributos básicos que cualquier

control de acceso debe tener, estos son:
• Autenticación: el proceso a través del cual un usuario
validada su identidad, vale decir confirma que es quien dice
ser.
• Autorización: proceso que determina cuales son los
privilegios de un usuario autenticado, vale decir, recursos a los
que tendrá acceso y permisos.
• Registro: es el proceso en el cual las actividades del usuario
autorizado quedan debidamente registrada para efectos de
auditoria o análisis posterior.
 Control de Acceso

Servicios AAA
– RADIUS (Remote Authentication Dial-In User Service)
– TACACS+ (Terminal Controller Access Control System)
 Control de Acceso

Diferencias entre RADIUS y TACACS+

 Control de acceso: Servicios AAA

Kerberos:
Maneja por separado los proceso de
autenticación y autorización.
 Control de acceso: servicios AAA

Directorio Activo de Microsoft:

Lanzado con Windows 2000, utiliza la estructura de
directorio basado en objetos formato X.500, el
protocolo de acceso es LDAP, puerto TCP 389, se puede
conectar sobre SSL.
 Control de Acceso

Tipos de autenticación para control de acceso:

– Basado en algo que uno posee: la autenticación de
produce a través de algún dispositivo que porta el
usuario, el modelo se seguridad se basa en solo el lo
posee.
– Basado en algo que uno sabe: la autenticación se
produce al reproducir un concepto que solo el usuario
conoce.
– Basado en algo que uno es: la autenticación se produce
a través de algún mecanismo inherente al usuario
 Control de acceso

Ejercicio practico:
Identificar a que tipo de autenticación pertenecen los siguientes
mecanismos:
Mecanismo Tipo
Usuario y contraseña Lo que uno sabe
Tarjeta magnética Lo que uno posee
Retina ocular Lo que uno es
Firma en un cheque Lo que uno sabe
Carne de identidad Lo que uno posee
Preguntas y respuestas Lo que uno sabe
Huella digital Lo que uno es
Tarjeta de coordenadas Lo que uno posee
PIN de cajero automático Lo que uno sabe
Giro de un vale vista Lo que uno es
 Control de acceso

Métodos de autenticación robustos o de doble factor:

Se le denomina aquel sistema de autenticación que
combinan dos mecanismos distintos.
 Control de Acceso

Modelos de control de Acceso

– Estos modelos permiten regular como se realizara la
autenticación y asignación de permisos de los usuarios, los mas
importantes son:
– DAC (Discretionary Access Control): el usuario que genera un
archivo es quien puede asignar los permisos de acceso
– MAC (Mandatory Access Control) : quien regula los permisos es
el Sistema Operativo, utilizando la estructura de directorio.
– RBAC (Role Based Access Control): los permisos son asignados
en función del Rol de cada usuario.
 Control de Acceso

Modelo RBAC
• La principal ventaja de esta modelo es que simplifica la
administración de usuarios y la asignación de permisos pues
se realiza:
– Usuario > Rol > permisos > recurso
• Los pasos para realizar una asignación de permisos con el
modelo RBAC son:
– Asignación del rol al usuario
– Autorización del rol
– Asignación de permisos al rol
 Control de Acceso: RBAC

Las principales ventajas de modelo RBAC son:

• Se pueden realizar múltiples asignaciones a usuarios y
recursos
• Al estar asignados los permisos a los roles, es mas fácil el
reemplazo de un usuario.
• Se pueden asignar múltiples usuarios a un rol y este a
múltiples recursos, lo que facilita la gestión.
• Las asignaciones están alineadas con la estructura
organizacional.
• Permite realizar segregación de funciones.
 Control de acceso: RBAC

Diferencias con el modelo ACL tradicional

 Control de acceso

Los diferentes tipos de control de acceso existentes en la

actualidad de acuerdo a su función son:
– Disuasivos: intenta evitar un incidente
– Preventivos: intenta prevenir un incidente
– Correctivos: corrige el componente una vez ocurrido un
incidente
– Recuperativos: recupera el control luego de ocurrido un
incidente
– Detectivos: ayuda a detectar un incidente
– Compensatorios: provee una alternativa ante un incidente
– Directivos: tiene fines regulatorios
 Políticas de Ciber Seguridad

Resumamos