Explorando controle de acesso para Security + Certification

Controle de acesso

é a capacidade para permitir ou negar o uso de um objeto (Uma entidade passiva, tais como um sistema ou arquivo) por um sujeito (Uma entidade activa, tal como um indivíduo ou processo).

sistemas de controle de acesso fornecer três serviços essenciais:

  • A identificação e autenticação (IA): Estes determinam quem pode fazer logon em um sistema.
  • Autorização: Isso determina o que um usuário autorizado pode fazer.
  • Prestação de contas: Isso identifica o que um usuário fez.

A identificação e autenticação (IA)

A identificação e autenticação (IA) é um processo de duas etapas que determina quem pode fazer logon em um sistema.

  • Identificação É assim que um usuário diz um sistema que ele ou ela é (por exemplo, usando um nome de usuário).

# 8226; O componente de um sistema de controle de acesso de identificação é normalmente um mecanismo relativamente simples, baseado em qualquer usuário ou ID de usuário.

  • No caso de um sistema ou processo, a identificação é usualmente com base em

# 8226; Nome do computador

# 8226; Media Access Control (MAC)

# 8226; Endereço Internet Protocol (IP)

# 8226; ID do processo (PID)

  • Os únicos requisitos para a identificação são de que a identificação

# 8226; Deve identificar o usuário.

# 8226; não deve identificar a posição que do usuário ou importância relativa em uma organização (tais como rótulos como presidente ou Chefe executivo).

# 8226; Deve evitar o uso de contas de usuários comuns ou compartilhados, tais como raiz, administrador, e sysadmin.

# 8226; Essas contas não fornecem nenhuma prestação de contas e são alvos suculentos para os hackers.

  • Autenticação é o processo de verificação de identidade alegada de um usuário (por exemplo, através da comparação de uma senha digitada a senha armazenada em um sistema para um determinado nome de usuário).
  • A autenticação é baseada em pelo menos um destes três factores:

# 8226; Algo que você sabe, como uma senha ou um número de identificação pessoal (PIN). Isso pressupõe que apenas o proprietário da conta conhece a senha ou PIN necessário para acessar a conta. Infelizmente, as senhas são frequentemente partilhadas, roubado ou imaginado.

# 8226; Algo que você tem,tal como um cartão inteligente ou token. Isso pressupõe que apenas o proprietário da conta tem o cartão inteligente necessário ou símbolo necessário para desbloquear a conta.

# 8226; Infelizmente, smart cards ou tokens podem ser perdidos, roubados, emprestado, ou duplicados.

# 8226; Algo que você é,tais como impressões digitais, voz, retina, ou características da íris. Isso pressupõe que o dedo ou globo ocular ligado ao seu corpo é realmente seu e identifica unicamente.

# 8226; A principal desvantagem é a aceitação do usuário - muitas pessoas têm dificuldade em utilizar estes sistemas.

Autorização

Autorização (ou estabelecimento) Define os direitos do usuário e permissões em um sistema. Depois que um usuário (ou processo) é autenticado, a autorização determina o que o usuário pode fazer no sistema.

A maioria dos sistemas operacionais modernos definir conjuntos de permissões que são variações ou extensões de três tipos básicos de acesso:

  • Read (R): O usuário pode

# 8226; Leia o conteúdo do arquivo

# 8226; conteúdo do diretório lista

  • Write (W): O usuário pode alterar o conteúdo de um arquivo ou pasta com estas tarefas:

# 8226; Adicionar

# 8226; Crio

# 8226; Excluir

# 8226; rebatizar

  • Executar (X): Se o arquivo for um programa, o usuário pode executar o programa.

Estes direitos e permissões são implementadas de forma diferente em sistemas baseados em controle de acesso discricionário (DAC) e controle de acesso obrigatório (MAC).

Prestação de contas

Accountability usa esses componentes do sistema como trilhas de auditoria (registros) e logs para associar um utilizador com suas ações. trilhas de auditoria e logs são importantes para

  • Detectar violações de segurança
  • Recriando incidentes de segurança

Se ninguém está a rever regularmente os seus registos e eles não são mantidos de forma segura e consistente, eles podem não ser admissíveis como prova.

Muitos sistemas pode gerar relatórios automatizados com base em determinados critérios ou limites predefinidos, conhecidos como níveis de recorte. Por exemplo, um nível de corte pode ser configurado para gerar um relatório para o seguinte:

  • Mais de três tentativas malsucedidas de logon em um determinado período
  • Qualquer tentativa de usar uma conta de usuário desabilitada

Estes relatórios ajudam um administrador de sistema ou administrador de segurança mais facilmente identificar possíveis tentativas de arrombamento.

técnicas de controle de acesso

técnicas de controle de acesso são geralmente classificados como quer discricionário ou obrigatório. Entender as diferenças entre o controle discricionário de acesso (DAC) e controle de acesso obrigatório (MAC), bem como métodos de controle de acesso específicos em cada categoria, é fundamental para passar no exame de Segurança +.

controle de acesso discricionário

Dcontrole de acesso iscretionary (DAC) é uma política de acesso determinado pelo proprietário de um arquivo (ou outro recurso). O proprietário decide quem é permitido o acesso ao arquivo e quais os privilégios que eles têm.

Dois conceitos importantes na DAC são

  • Arquivo e dados de propriedade: Cada objeto em um sistema deve ter um proprietário. A política de acesso é determinado pelo proprietário do recurso (incluindo arquivos, diretórios de dados, recursos de sistema e dispositivos). Teoricamente, um objeto sem um proprietário é deixado desprotegido.
  • Normalmente, o proprietário de um recurso é a pessoa que criou o recurso (como um arquivo ou diretório).
  • Os direitos de acesso e permissões: Estes são os controles que um proprietário pode atribuir a usuários individuais ou grupos de recursos específicos.

controles de acesso discricionários podem ser aplicados através das seguintes técnicas:

  • listas de controle de acesso (ACLs) nomear os direitos e permissões específicas que são atribuídas a um indivíduo para um determinado objeto. listas de controle de acesso fornece um método flexível para aplicar controles de acesso discricionários.
  • controle de acesso baseado em função atribui a associação de grupo com base em papéis organizacionais ou funcionais. Esta estratégia simplifica a gestão dos direitos de acesso e permissões:

# 8226; Os direitos de acesso e permissões para objetos são atribuídos qualquer grupo ou, para além de, indivíduos.

# 8226; Os indivíduos podem pertencer a um ou vários grupos. Os indivíduos podem ser designado para adquirir acumulativo permissões (cada permissão de qualquer grupo são in) ou desqualificado de qualquer permissão que não faz parte do cada grupo em que estão.

controle de acesso obrigatório

controle de acesso obrigatório (MAC) é uma política de acesso determinado pelo sistema, e não o proprietário. O MAC é usado em sistemas de vários níveis que processam dados altamente sensíveis, tais como o governo classificados e informação militar. UMA sistema multinível é um único sistema de computador que manipula múltiplos níveis de classificação entre sujeitos e objetos.

Dois conceitos importantes na MAC são os seguintes:

  • rótulos de sensibilidade: Em um sistema baseado em MAC, todos os sujeitos e objetos devem ter etiquetas atribuído a eles.
  • rótulo de sensibilidade de um sujeito especifica seu nível de confiança. rótulo de sensibilidade de um objeto especifica o nível de confiança necessário para o acesso. De modo a aceder a um determinado objecto, o objecto tem de ter um nível de sensibilidade igual a ou maior do que o objecto solicitado.
  • importar e exportar dados: Controlar a importação de informações de outros sistemas e exportação para outros sistemas (incluindo impressoras) é uma função crítica de sistemas baseados no MAC, que devem assegurar que os rótulos de sensibilidade são devidamente mantidas e implementadas de modo a que a informação sensível é adequadamente protegida em todos os momentos.

Dois métodos são comumente usados ​​para a aplicação de controle de acesso obrigatório:

  • controles de acesso baseados em regras:Este tipo de controle define ainda as condições específicas de acesso a um objeto solicitado.
  • Todos os sistemas baseados em MAC implementar uma forma simples de controle de acesso baseado em regras para determinar se o acesso deve ser concedido ou negado por correspondência

# 8226; rótulo de sensibilidade de um objeto

# 8226; rótulo de sensibilidade de um sujeito

  • controles de acesso baseados em treliça: Thesecan ser usado para decisões complexas de controle de acesso envolvendo múltiplos objetos e / ou sujeitos.
  • UMA modelo da rede é uma estrutura matemática que define maior limite inferior e menos limite superior valores para um par de elementos, tais como um objecto e um objecto.

menu