Control de Acceso Dinámico

Mecanismos de reacción a emergencias

•  National Cyber Security •  Research and Development Challenges 2009 •  An Industry, Academic and Government Perspective Related to

Economics, Physical Infrastructure and Human Behavior

–  A report to the Chairman and Ranking Member of the US Senate Committee on Homeland Security and Governmental Affairs.

•  Institute for Information Infrastructure Protection (I3P)

•  Un documento electrónico puede ser modificado en diversas etapas transformándolo en un producto que se parece poco al original

•  La imposibilidad de rastrear o recrear la trayectoria electrónica, o sea la proveniencia, es un problema fundamental de la seguridad de la información.

•  Los supermercados dependen de cadenas de abastecimiento..

•  Las cadenas son altamente especificas pero todas dependen de la infraestructura de información

•  Una intrusión informática en uno de los eslabones puede afectar a toda la cadena

•  Entender esta interdependencia y como puede afectar a la cadena una intrusión es uno de los retos.

•  Al aparecer excedentes de comida en asentamientos agrícolas se requirió la construcción de barreras artificiales, muchas veces paredes altas, para defender a las personas y a los excedentes

Activos

•  En las fortificaciones el problema principal es:

•  LA PUERTA

•  En la puerta se tienen que tomar las decisiones de: – Quien es la persona – Como demuestra su identidad – Que es lo que se le permitirá hacer

Autorizaciones

•  Cada permiso de acceso tiene que estar acompañado de la autorización de llevar a cabo acciones permitidas.

•  Las autorizaciones se requieren para proteger los activos: – Contra robos en el caso de excedentes – Contra ataques a las personas

Activos

Activos

•  En el caso moderno tenemos

Activos

•  Las autorizaciones se requieren para proteger los activos y preservar las propiedades de seguridad de la información – Confidencialidad –  Integridad – Autenticidad – Disponibilidad

•  La combinación del establecimiento de perímetros y de mecanismos de autenticación ha dado origen a lo que hoy se conoce como Control de Acceso, que es la actividad principal en seguridad informática.

Pasos

•  Registro •  Identificación •  Autenticación.

Control de acceso voluntario

DAC

•  metodología y políticas de control de acceso que permiten a un usuario negar o aceptar el uso de sus archivos (datos y programas)

•  Se implementa mediante – bits de permiso – sistemas de contraseñas –  listas de capacidades –  listas de control de acceso

Control de acceso por mandato

MAC

Diferencia •  El usuario no controla la autorización de

acceso a información. •  El control esta en manos de la institución •  Los usuarios reciben un nivel de

autorización de acceso •  La información se clasifica según su

sensibilidad •  Estos dos parámetros se combinan para

crear Clases de Acceso.

Modelo de Clark y Wilson.

•  El modelo de integridad de Clark y Wilson esta basado en dos mecanismos: –  las transacciones bien formadas –  la separación de funciones.

•  Se proporcionan a cada usuarios solo las transacciones bien formadas que le corresponden

Control de acceso basado en perfiles

RBAC

•  los usuarios no gozan de acceso discrecional a los objetos del sistema.

•  los permisos se otorgan a perfiles, •  A los usuarios se les afilia al perfil

apropiado.

Enfoque Institucional

•  Un perfil es una abstracción que incluye: – Un conjunto definido claramente de

responsabilidades institucionales. – La funcionalidad y aplicaciones de la

tecnología de la información que se requiere para cumplir esas responsabilidades.

•  Los usuarios pueden ser afiliados a un perfil dado según sus responsabilidades y capacidades,

•  se les puede reasignar de un perfil a otro sin modificar la estructura de control de acceso

•  Se puede otorgar nuevos permisos a un perfil,

•  y se pueden revocar permisos de un perfil •  sin tener que ocuparse de todos los

usuarios involucrados

Relación entre componentes

USUARIO PERFIL PERMISOS

componentes

•  usuarios •  sujetos •  perfiles •  jerarquías de perfiles •  operaciones •  objetos protegidos.

Especificación de Permisos

USUARIO PERFIL

PERMISOS

Objetos

Operaciones (Transacciones)

RBAC para Intranets

IRBAC

•  La arquitectura de una Intranet institucional involucra a un conjunto de servidores (SQL, Web, Base de datos, etc.) que están conectados a una red privada.

•  Esta red usa el conjunto de protocolos TCP/IP tanto a nivel de WAN como de LAN, así como otros protocolos ,por ejemplo SMTP, HTTP, etc., para intercambiar información entre los clientes y los servidores.

•  Existen tres amenazas básicas – Al almacenamiento – Al acceso – A la transferencia

RBAC dinámico

CBAC Control de acceso basado en

coaliciones

•  Diseño de sistemas de control de acceso que permitan reaccionar a vulnerabilidades y ataques implementando defensas en tiempo real.

•  En los sistemas y redes convencionales las políticas y mecanismos de control de acceso determinan y vigilan el cumplimento del uso autorizado de los recursos.

•  Cuando un sistema sufre un ataque, o cuando se detecta una vulnerabilidad se compromete la seguridad de los recursos y los usuarios.

•  En tales circunstancias cambiar la matriz de control de acceso vigente rápidamente es indispensable.

•  El propósito es cambiar las autorizaciones y evitar que los usuarios y programas maliciosos accedan a los recursos vulnerables pero que no se hayan comprometido

•  Cuando la amenaza haya sido controlada, – por ejemplo expulsando a usuarios o –  instalando modificaciones a los sistemas,

•  debe ser fácil restaurar las políticas y autorizaciones.

•  o sea regresar al funcionamiento inicial.

•  Si el modelo de control de acceso es discrecional habría que avisar a TODOS los usuarios que cambien las autorizaciones

•  Si el modelo de control de acceso es obligatorio habría que reclasificar TODOS los datos

•  Si el modelo de control de acceso es el de Clark y Wilson habría que cambiar TODAS las transacciones bien formadas.

•  Esto no se puede lograr en un periodo corto de tiempo

•  Posiblemente no se puede lograr por problemas de organización

•  En el control de acceso basado en perfiles cada usuario esta asociado a uno o mas perfiles.

•  Cada perfil es un acervo de autorizaciones •  Cada autorización consiste de un objeto y los

métodos de acceso disponibles para el perfil •  Los usuarios pueden agregarse o eliminarse de

un perfil •  El que esta asignación sea asíncrona simplifica

la administración de conjuntos grandes de usuarios.

•  Las autorizaciones de un usuario se pueden cambiar cancelando su afiliación a un perfil y asignando al usuario a un perfil predeterminado que le ofrezca autorizaciones mas restringidas

•  Este modelo de control de acceso es adecuado para hacerlo en un corto tiempo para grupos grandes de usuarios

•  Por ejemplo consideremos tres dominios de seguridad que deben colaborar para responder a una amenaza a la seguridad nacional – Vigilancia del transporte de material nuclear – Actividades de grupos terroristas – Reducción de riesgos

•  Los dominios de seguridad en los EE.UU.. Podrían ser – Agencia de inteligencia militar (DIA) – Agencia de seguridad nacional (NSA) – Agencia de reducción de amenazas (DTRA) – Agencia central de inteligencia (CIA)

•  En una emergencia estos dominios tienen que compartir recursos que en condiciones normales están bajo estrictas reglas de control en cada dominio – Base de datos de intercepción de

comunicaciones (NSA) – Reportes de espionaje (CIA)

•  Hay también información que se administra en forma conjunta –  Datos integrados de inteligencia –  Reportes al presidente –  Reportes al congreso

•  Es importante compartir esta información aun después de que desaparezca la amenaza

•  Esta permanencia de la colaboración es lo que le da un valor agregado a la coalición.

•  Otra ventaja de emplear perfiles predeterminados al responder a emergencias es que permiten analizar formalmente el comportamiento del control de acceso a priori.

Sincronización

•  Uno de los problemas al cambiar el control de acceso en forma dinámica mientras el sistema esta funcionando es el requerimiento de sincronizar las operaciones.

•  En un sistema distribuido un administrador puede iniciar una acción de respuesta (RA- response action) para modificar el control de acceso en toda la red..

•  La administración de la confianza consiste en otorgar a cada usuario un conjunto de credenciales acordadas conjuntamente por la coalición y que se empleen estas credenciales para otorgar el acceso a los recursos de un miembro de la coalición.

•  Se requiere la existencia de un conjunto común de tipos de credencial y de tipos de objetos.

•  Supongamos que el usuario u del dominio B solicita acceso a un objeto o en el dominio A. Las políticas de A indican que solo ciertos perfiles pueden tener acceso a o y por lo tanto solo los usuarios que están afiliados a estos perfiles pueden lograr el acceso.

•  Hay que afiliar a u a un perfil adecuando en A

•  Se requieren programas de intermediación para negociar e implantar las autorizaciones basadas en las credenciales

Así es posible responder a emergencias