Apuntes 17 de Marzo de 2010
Confidencialidad de la información
•Los recursos (hardware, software, datos) son accesibles sólo a usuarios ó procesos autorizados.
•Es la propiedad de la información, por la que se garantiza que está accesible únicamente a personal autorizado a acceder a dicha información.
Confidencialidad de la Información
- Ataques a la confidencialidad de la información
- Controles para garantizar la confidencialidad
Ataques contra la Confidencialidad de la Información
- Acceso no autorizado a los archivos, sistemas de información ó bases de datos
- Acceso remoto no autorizado
- Sniffing
- Keylogger
Ataques contra la Confidencialidad de la Información
- Acceso no autorizado a los archivos, sistemas de información ó bases de datos
- Errores o mala configuración de los mecanismos de autorización y autenticación permiten el acceso a usuarios no autorizados a archivos en servidores y computadores personales.
- Acceso remoto no autorizado
- Errores o mala configuración de los mecanismos de autorización y autenticación de la red permiten el acceso remoto a usuarios no autorizados a archivos en servidores y computadores personales.
- Sniffing: intercepción del tráfico de la red en busca de contraseñas e información sensible, mediante sniffers
Sniffer:
- -Rastreadores, analizadores de protocolos.
- •Detectar intrusos, tráfico anormal
- •Hacking: Obtener información-Ataque pasivo
- Herramienta: Wireshark(antes Ethereal)
Keylogger: del inglés: key (tecla) y logger (registrador);
Combinación de hardware y software que se encargan de capturar todas las pulsaciones que se realizan en el teclado, y almacenarlas en un archivo.
Controles para preservar la Confidencialidad de la Información
- Autenticación
- Autorización
- Clasificación de la información
- Encripción de la información (Ciframiento)
Autenticación
- Proceso apoyado en mecanismos para confirmar a alguien (usuario, proceso) como auténtico.
- Garantizar la identidad de quien solicita acceso a los recursos (harware, sofware, información)
- Mecanismos: usuario/contraseña, dispositivos biométricos, certificados digitales
Mecanismos de autenticación
- Algo que usted conoce (clave)
- Algo que usted tiene (token, smartcard)
- Algo que usted es (dispositivos biométricos)
- Algo que usted produce (firma, voz)
Factores de autenticación
- Niveles de autenticación es la cantidad de mecanismos o formas utilizadas en un proceso de autenticación de usuarios.
- Existen varios factores ó niveles de autenticación:
- Factor 1 (clave o password)
- Factor 2 (clave, token)
- Factor 3 (clave, tarjetas magnéticas (token), biométrico)
Contraseñas
- Definir contraseñas fuertes: longitud apropiada
- Combinación letras, números, minúsculas, mayúsculas, caracteres espaciales
- No escribirlas
- Usar algoritmo para generarlas
- Evitar “ataques de diccionario” y de “fuerza bruta”
Dispositivos biométricos
- Autenticación de usuarios basados en sus características “únicas”, “propias de cada usuario”.
- Porcentaje alto de confiabilidad
- Huellas dactilares o palma de la mano
- Escaneo de iris, retina
- Geometría de la mano o facial
- Voz25
Problemas:
- Costo elevado de los dispositivos
- Algunos son intrusivos
- Administración engorrosa y almacenamiento voluminoso de patrones e comparación.
- Mala o deficiente configuración de los dispositivos, genera:
- Falsos positivos: usuarios son aceptados como válidos sin serlos
- Falsos negativos: usuarios válidos son rechazados
Autorización
- Los recursos son accedidos sólo por los usuarios que reúnen los permisos necesarios para ello.
- El proceso de autorización se usa para decidir si la persona, programa o dispositivo tiene permisos para acceder al dato, funcionalidad o servicio.
Mecanismos
- Permisos sobre directorios y archivos
- Perfiles de usuario
- Por medio de matrices funciones y permisos se diseñan los permisos y se implementan en perfiles.
- ACL –Listas de control de acceso: son para establecer los permisos de acceso a un determinado objeto, su principal en dispositivos de red.
- Firewall
Deja un comentario