U5.2 Mecanismos de prevención

Los mecanismos de seguridad preventivos son todas aquellas acciones que van encaminadas a prevenir cualquier amenaza a la confidencialidad, integridad y disponibilidad de los elementos críticos del sistema.


Mecanismos de autenticación e identificación
La autentificación es el proceso de detectar y comprobar la identidad de una entidad del sistema examinando las credenciales del usuario y validando esas credenciales contra alguna autoridad. Estos mecanismos hacen posible identificar entidades del sistema de una forma única, y posteriormente, una vez identificadas, autenticarlas (comprobar que la entidad es quién dice ser). Son los mecanismos más importantes en cualquier sistema, ya que forman la base de otros mecanismos que basan su funcionamiento en la identidad de las entidades que acceden a un objeto.
Los métodos de autenticación se suelen dividir en tres grandes categorías, en función de lo que utilizan para la verificación de identidad: (a) algo que el usuario sabe, (b) algo que éste posee, y (c) una característica física del usuario o un acto involuntario del mismo. Esta última categoría se conoce con el nombre de autenticación biométrica. Es fácil ver ejemplos de cada uno de estos tipos de autenticación: un password o passphrase es algo que el usuario conoce y el resto de personas no, una tarjeta de identidad es algo que el usuario lleva consigo, la huella dactilar es una característica física del usuario, y un acto involuntario podría considerarse que se produce al firmar (al rubricar la firma no se piensa en el diseño de cada trazo individualmente). Por supuesto, un sistema de autenticación puede (y debe, para incrementar su fiabilidad) combinar mecanismos de diferente tipo, como en el caso de una tarjeta de crédito junto al PIN a la hora de utilizar un cajero automático o en el de un dispositivo generador de claves para el uso de One Time Passwords.

Mecanismos de control de acceso
El control de acceso es el proceso de autorizar a los usuarios, grupos y equipos a tener acceso a los objetos de la red. Cualquier objeto del sistema debe estar protegido mediante mecanismos de control de acceso, que controlan todos los tipos de acceso sobre el objeto por parte de cualquier entidad del sistema.
Los administradores de sistemas operativos de red pueden restringir el uso y la administración del control de acceso a objetos y sujetos para proporcionar la siguiente seguridad:

  • Evitar que se haga un uso incorrecto de una mayor cantidad y variedad de recursos.
  • Proveer a los usuarios de recursos de acceso de una manera coherente con las directivas de la organización y los requisitos de sus tareas.
  • Permitir a los usuarios acceder a los recursos desde diversos dispositivos en distintas ubicaciones.
  • Mejorar la capacidad de los usuarios para acceder a los recursos regularmente a medida que las directivas de la organización o las tareas de los usuarios van cambiando, así como para dar cabida a una cantidad de escenarios de uso cada vez mayor (como el acceso desde ubicaciones remotas o desde una variedad cada vez mayor de dispositivos, como tabletas y teléfonos móviles).
  • Identificar y resolver problemas de acceso cuando los usuarios legítimos no pueden acceder a los recursos que necesitan para realizar sus tareas.


En los sistemas operativos con Servicios de Directorio, como Windows Server, cada contenedor y objeto de la red tiene asignada información de control de acceso. Esta información se denomina descriptor de seguridad y controla el tipo de acceso permitido a usuarios y grupos. Los permisos se definen en el descriptor de seguridad de un objeto. Se asocian o asignan a usuarios y grupos específicos.
Cuando se es miembro de un grupo de seguridad que está asociado a un objeto, se tiene cierta capacidad para administrar los permisos de ese objeto. En el caso de los objetos que se poseen, el control es total. Puede utilizar distintos métodos, como Servicios de dominio de Active Directory (AD DS), Directiva de grupo o listas de control de acceso, para administrar distintos tipos de objetos.
En un sistema LINUX, el conjunto de recursos está formado por todos los archivos del sistema, y el dominio será un usuario y los procesos que el ejecuta y que, por tanto, tengan el mismo UID efectivo.
Para controlar el acceso de los dominios a los recursos se utilizan las Listas de Control de Acceso por cada recurso. La Lista de Control de Acceso (ACL) especifica qué dominios tienen acceso al recurso y qué operaciones asociadas al recurso pueden utilizar.

Mecanismos de seguridad en las comunicaciones:
Es especialmente importante para la seguridad de nuestro sistema el proteger la integridad y la privacidad de los datos cuando se transmiten a través de la red. Para garantizar esta seguridad en las comunicaciones, debemos utilizar ciertos mecanismos, la mayoría de los cuales se basan en la Criptografía: cifrado de clave pública, de clave privada, firmas digitales, etc. Aunque cada vez se utilizan más los protocolos seguros (como SSH o Kerberos), aún es frecuente encontrar conexiones en texto claro ya no sólo entre máquinas de una misma subred, sino entre redes diferentes.
FTPS
FTPS es un protocolo de transferencia de archivos que utiliza SSL para asegurar los comandos y los datos que se transfieren entre el cliente y el servidor. Secure Sockets Layer (SSL) y su sucesor, Transport Layer Security (TLS), son protocolos de cifrado que proveen seguridad para las comunicaciones por Internet, cubriendo tareas tales como navegación por la web, correo electrónico, FTP y otras transferencias de datos. El protocolo SSL fue desarrollado por Netscape Communications Corporation con el objetivo de brindar seguridad y privacidad por Internet.
Se debería usar FTPS cuando se necesite transferir datos confidenciales o de carácter crítico entre un cliente y un servidor configurado para usar SSL en transferencias seguras.
Criptografía de clave pública
La criptografía de clave pública asegura una transmisión de datos privada y segura mediante dos procesos: autenticación y cifrado. La autenticación garantiza que los datos son enviados exactamente por quien dice ser. El cifrado, la forma más efectiva de lograr la seguridad de la información, es el proceso de traducir datos a un código secreto.
Claves públicas y privadas
La autenticación y el cifrado usan códigos digitales llamados "claves": una clave pública y una clave privada. La clave pública se utiliza para cifrar mensajes, y para descifrarlos se emplea la clave privada correspondiente. A pesar de esta asociación, es importante destacar que es prácticamente imposible inferir la clave privada si sólo se conoce la clave pública.
La clave pública cumple dos funciones principales: validación y cifrado de los datos. Como su nombre sugiere, la clave pública se envía abiertamente a cualquiera que solicite una de estas dos funciones.
La clave privada, por otro lado, es necesaria para cifrar los datos (proceso también conocido como "firma") y para descifrarlos. A diferencia de la clave pública, esta clave se protege cuidadosamente.

Mecanismos de seguridad en las comunicaciones:
Es especialmente importante para la seguridad de nuestro sistema el proteger la integridad y la privacidad de los datos cuando se transmiten a través de la red. Para garantizar esta seguridad en las comunicaciones, debemos utilizar ciertos mecanismos, la mayoría de los cuales se basan en la Criptografía: cifrado de clave pública, de clave privada, firmas digitales, etc. Aunque cada vez se utilizan más los protocolos seguros (como SSH o Kerberos), aún es frecuente encontrar conexiones en texto claro ya no sólo entre máquinas de una misma subred, sino entre redes diferentes.


FTPS
FTPS es un protocolo de transferencia de archivos que utiliza SSL para asegurar los comandos y los datos que se transfieren entre el cliente y el servidor. Secure Sockets Layer (SSL) y su sucesor, Transport Layer Security (TLS), son protocolos de cifrado que proveen seguridad para las comunicaciones por Internet, cubriendo tareas tales como navegación por la web, correo electrónico, FTP y otras transferencias de datos. El protocolo SSL fue desarrollado por Netscape Communications Corporation con el objetivo de brindar seguridad y privacidad por Internet.
Se debería usar FTPS cuando se necesite transferir datos confidenciales o de carácter crítico entre un cliente y un servidor configurado para usar SSL en transferencias seguras.


Criptografía de clave pública
La criptografía de clave pública asegura una transmisión de datos privada y segura mediante dos procesos: autenticación y cifrado. La autenticación garantiza que los datos son enviados exactamente por quien dice ser. El cifrado, la forma más efectiva de lograr la seguridad de la información, es el proceso de traducir datos a un código secreto.


Claves públicas y privadas
La autenticación y el cifrado usan códigos digitales llamados "claves": una clave pública y una clave privada. La clave pública se utiliza para cifrar mensajes, y para descifrarlos se emplea la clave privada correspondiente. A pesar de esta asociación, es importante destacar que es prácticamente imposible inferir la clave privada si sólo se conoce la clave pública.
La clave pública cumple dos funciones principales: validación y cifrado de los datos. Como su nombre sugiere, la clave pública se envía abiertamente a cualquiera que solicite una de estas dos funciones.
La clave privada, por otro lado, es necesaria para cifrar los datos (proceso también conocido como "firma") y para descifrarlos. A diferencia de la clave pública, esta clave se protege cuidadosamente.

Certificados digitales
Los certificados digitales son una manera estándar de unir una clave pública a un nombre. A fin de poder emitir un certificado digital, el emisor de los datos debe solicitar un certificado digital de una Entidad emisora de certificados (CA) como Verisign. De esta forma, la CA actúa como una tercera parte neutral que verifica que el emisor de los datos es quien dice ser. Una vez verificada esta información, la CA puede emitir un certificado de clave pública que pueda utilizar esa parte. El estándar usado con más frecuencia en certificados digitales es X.509. Un estándar universal de este tipo es necesario, dado que para poder enviar datos cifrados usted debe conocer la clave pública del receptor.