Es la primera línea de defensa para la mayoría de
los sistemas computarizados, permitiendo prevenir el ingreso de personas no
autorizadas. Es la base para la mayor parte de los controles de acceso y para
el seguimiento de las actividades de los usuarios.
Se denomina Identificación al momento en que el usuario se da a conocer en el
sistema; y Autenticación a la verificación que realiza el sistema sobre esta
identificación.
Al igual que se consideró para la seguridad física,
y basada en ella, existen cuatro tipos de técnicas que permiten realizar la
autenticación de la identidad del usuario, las cuales pueden ser utilizadas
individualmente o combinadas:
- Algo que solamente el individuo conoce: por ejemplo una clave secreta de acceso o password, una clave criptográfica, un número de identificación personal o PIN, etc.
- Algo que la persona posee: por ejemplo una tarjeta magnética.
- Algo que el individuo es y que lo identifica unívocamente: por ejemplo las huellas digitales o la voz.
- Algo que el individuo es capaz de hacer: por ejemplo los patrones de escritura.
Para cada una de estas técnicas vale lo mencionado
en el caso de la seguridad física en cuanto a sus ventajas y desventajas. Se
destaca que en los dos primeros casos enunciados, es frecuente que las claves
sean olvidadas o que las tarjetas o dispositivos se pierdan, mientras que por
otro lado, los controles de autenticación biométricos serían los más apropiados
y fáciles de administrar, resultando ser también, los más costosos por lo dificultosos
de su implementación eficiente.
Desde el punto de vista de la eficiencia, es
conveniente que los usuarios sean identificados y autenticados solamente una
vez, pudiendo acceder a partir de allí, a todas las aplicaciones y datos a los
que su perfil les permita, tanto en sistemas locales como en sistemas a los que
deba acceder en forma remota. Esto se denomina "single login" o
sincronización de passwords.
Una de las posibles técnicas para implementar esta
única identificación de usuarios sería la utilización de un servidor de
autenticaciones sobre el cual los usuarios se identifican, y que se encarga
luego de autenticar al usuario sobre los restantes equipos a los que éste pueda
acceder. Este servidor de autenticaciones no debe ser necesariamente un equipo
independiente y puede tener sus funciones distribuidas tanto geográfica como
lógicamente, de acuerdo con los requerimientos de carga de tareas.
La Seguridad Informática se basa, en gran medida,
en la efectiva administración de los permisos de acceso a los recursos
informáticos, basados en la identificación, autenticación y autorización de
accesos.
Esta administración abarca:
- Proceso de solicitud, establecimiento, manejo, seguimiento y cierre de las cuentas de usuarios. Es necesario considerar que la solicitud de habilitación de un permiso de acceso para un usuario determinado, debe provenir de su superior y, de acuerdo con sus requerimientos específicos de acceso, debe generarse el perfil en el sistema de seguridad, en el sistema operativo o en la aplicación según corresponda.
- Además, la identificación de los usuarios debe definirse de acuerdo con una norma homogénea para toda la organización.
- Revisiones periódicas sobre la administración de las cuentas y los permisos de acceso establecidos. Las mismas deben encararse desde el punto de vista del sistema operativo, y aplicación por aplicación, pudiendo ser llevadas a cabo por personal de auditoría o por la gerencia propietaria del sistema; siempre sobre la base de que cada usuario disponga del mínimo permiso que requiera de acuerdo con sus funciones.
- Las revisiones deben orientarse a verificar la adecuación de los permisos de acceso de cada individuo de acuerdo con sus necesidades operativas, la actividad de las cuentas de usuarios o la autorización de cada habilitación de acceso. Para esto, deben analizarse las cuentas en busca de períodos de inactividad o cualquier otro aspecto anormal que permita una redefinición de la necesidad de acceso.
- Detección de actividades no autorizadas. Además de realizar auditorias o efectuar el seguimiento de los registros de transacciones (pistas), existen otras medidas que ayudan a detectar la ocurrencia de actividades no autorizadas. Algunas de ellas se basan en evitar la dependencia hacia personas determinadas, estableciendo la obligatoriedad de tomar vacaciones o efectuando rotaciones periódicas a las funciones asignadas a cada una.
- Nuevas consideraciones relacionadas con cambios en la asignación de funciones del empleado. Para implementar la rotación de funciones, o en caso de reasignar funciones por ausencias temporales de algunos empleados, es necesario considerar la importancia de mantener actualizados los permisos de acceso.
- Procedimientos a tener en cuenta en caso de desvinculaciones de
personal con la organización, llevadas a cabo en forma amistosa o no. Los
despidos del personal de sistemas presentan altos riesgos ya que en
general se trata de empleados con capacidad para modificar aplicaciones o
la configuración del sistema, dejando "bombas lógicas" o destruyendo
sistemas o recursos informáticos. No obstante, el personal de otras áreas
usuarias de los sistemas también puede causar daños, por ejemplo,
introduciendo información errónea a las aplicaciones intencionalmente.
Para evitar estas situaciones, es recomendable anular los permisos de acceso a las personas que se desvincularán de la organización, lo antes posible. En caso de despido, el permiso de acceso debería anularse previamente a la notificación de la persona sobre la situación.
Por ejemplo, inicialmente, están registrando a todos sus
titulares de tarjetas y luego simplemente implementan Lectores de Transición,
los cuales leen el identificador único de la tarjeta y lo cotejan con el
titular de tarjeta registrado. Estos lectores pueden reconfigurarse después para
permitir la autenticación con varios factores de seguridad.
infraestructura de clave pública
El término PKI se utiliza para referirse tanto a la autoridad
de certificación
Es una infraestructura clave publica
Criptografía (del griego κρύπτos '(criptos),
«oculto», y γραφη (grafé), «escritura», literalmente «escritura oculta»).
Tradicionalmente se ha definido como el ámbito de la criptología el que se ocupa de las
técnicas de cifrado o codificadodestinadas
a alterar las representaciones lingüísticas de
ciertos mensajes con el fin de hacerlos ininteligibles a receptores no
autorizados.
Configuración para el tipo de
autenticación de PKI
Para realizar la configuración para la
autenticación de PKI, primero debe crear una póliza de acceso. El flujo del
proceso es el siguiente:
·
Creación
de pólizas de acceso
El administrador realiza esta tarea mediante el producto (sólo interfaz Web) y, como parte del proceso, debe asignar un código de texto único a cada política de acceso.
El administrador realiza esta tarea mediante el producto (sólo interfaz Web) y, como parte del proceso, debe asignar un código de texto único a cada política de acceso.
·
Obtención
de un certificado digital con un par clave pública/clave privada y asociación
del mismo a la póliza de acceso
Para la autenticación de acceso por PKI, una aplicación de usuario tiene que obtener un certificado digital que contenga un par de clave pública y clave privada. Un administrador puede obtener el certificado digital a través de una entidad emisora de certificados de terceros o de productos de seguridad que admitan certificados digitales. CA SDM también proporciona una utilidad de servidor que puede generar un certificado digital.
Para la autenticación de acceso por PKI, una aplicación de usuario tiene que obtener un certificado digital que contenga un par de clave pública y clave privada. Un administrador puede obtener el certificado digital a través de una entidad emisora de certificados de terceros o de productos de seguridad que admitan certificados digitales. CA SDM también proporciona una utilidad de servidor que puede generar un certificado digital.
Propósito y
funcionalidad
La tecnología PKI permite a los usuarios autenticarse frente
a otros usuarios y usar la información de los certificados de identidad (por
ejemplo, las claves públicas de otros usuarios) para cifrar y
descifrar mensajes, firmar digitalmente información, garantizar el no repudio
de un envío, y otros usos.
En una operación criptográfica que use PKI, intervienen
conceptualmente como mínimo las siguientes partes:
Un usuario iniciador de la operación.
Unos sistemas servidores que dan fe de la ocurrencia de la
operación y garantizan la validez de los certificados implicados en la
operación (autoridad de certificación,Autoridad de registro y sistema de Sellado
de tiempo).
Un destinatario de los datos cifrados/firmados/enviados
garantizados por parte del usuario iniciador de la operación (puede ser él
mismo).
Las operaciones criptográficas de clave pública, son
procesos en los que se utilizan unos algoritmos de cifrado que son conocidos y
están accesibles para todos. Por este motivo la seguridad que puede aportar la
tecnología PKI, está fuertemente ligada a la privacidad de la llamada clave
privada y los procedimientos operacionales o Políticas de seguridad aplicados.
Es de destacar la importancia de las políticas de seguridad en esta
tecnología, puesto que ni los dispositivos más seguros ni los algoritmos de
cifrado más fuerte sirven de nada si por ejemplo una copia de la clave privada
protegida por una tarjeta criptográfica (del inglés 'smart
card') se guarda en un disco duro convencional de un PC conectado a Internet.
Usos de la tecnología PKI[editar]
Identificación de usuarios y sistemas (login)
Identificación del interlocutor
Cifrado de datos digitales
digital de datos (documentos, software, etc.)
Asegurar las comunicaciones
Garantía de no repudio (negar que cierta transacción tuvo
lugar)
Tipos de certificados[editar]
Existen diferentes tipos de certificado digital, en función
de la información que contiene cada uno y a nombre de quién se emite el
certificado:
Certificado personal, que acredita la identidad del titular.
Certificado de pertenencia a empresa, que además de la
identidad del titular acredita su vinculación con la entidad para la que
trabaja.
Certificado de representante, que además de la pertenencia a
empresa acredita también los poderes de representación que el titular tiene
sobre la misma.
Certificado de persona jurídica, que identifica una empresa
o sociedad como tal a la hora de realizar trámites ante las administraciones o
instituciones.
Certificado de atributo, el cual permite identificar una
cualidad, estado o situación. Este tipo de certificado va asociado al
certificado personal. (p.ej. Médico, Director, Casado, Apoderado de..., etc.).
Además, existen otros tipos de certificado digital
utilizados en entornos más técnicos:
Certificado de servidor seguro, utilizado en los servidores
web que quieren proteger ante terceros el intercambio de información con los
usuarios.
Certificado de firma de código, para garantizar la autoría y
la no modificación del código de aplicaciones informáticas.
Componentes[editar]
Los componentes más habituales de una infraestructura de
clave pública son:
La autoridad de certificación (o, en
inglés, CA, Certificate Authority): es la encargada de emitir y
revocar certificados. Es la entidad de confianza que da legitimidad a la
relación de una clave pública con la identidad de un usuario o servicio.
La autoridad de registro (o, en inglés,
RA, Registration Authority): es la responsable de verificar el enlace
entre los certificados (concretamente, entre la clave pública del certificado)
y la identidad de sus titulares.
Los repositorios: son las estructuras encargadas de
almacenar la información relativa a la PKI. Los dos repositorios más
importantes son el repositorio de certificados y el repositorio de listas de revocación de
certificados. En una lista de revocación de certificados (o, en
inglés, CRL, Certificate Revocation List)
se incluyen todos aquellos certificados que por algún motivo han dejado de ser
válidos antes de la fecha establecida dentro del mismo certificado.
La autoridad de validación (o, en inglés,
VA, Validation Authority): es la encargada de comprobar la validez de
los certificados digitales.
La autoridad de sellado de tiempo (o,
en inglés, TSA, TimeStamp Authority): es la encargada de firmar
documentos con la finalidad de probar que existían antes de un determinado
instante de tiempo.
Los usuarios y entidades finales son aquellos que poseen un
par de claves (pública y privada) y un certificado asociado a su clave pública.
Utilizan un conjunto de aplicaciones que hacen uso de la tecnología PKI (para
validar firmas digitales, cifrar documentos para otros usuarios, etc.)
Fuentes de información:http://ecovi.uagro.mx/ccna4/course/module3/3.3.2.4/3.3.2.4.html
No hay comentarios:
Publicar un comentario