- Tipos de Control de Acceso
- Comercio electrónico
- Control de acceso basado en roles. (Role Base Access Control, RBAC)
- Sistema de comunicaciones de medio de datos
- Medios, formas y tipos de transmisión
- Protocolos
- Estándares
- Bibliografía
Según (AREITIO J, 2008 ) la tendencia de la seguridad informática es un elemento esencial en todo el desarrollo de nueva implementación de las TIC. En cualquier sistema informático, especialmente si es multiusuario, el control de acceso sobre usuarios y recursos del mismo es un pilar fundamental para su seguridad. Por ello, es de gran importancia contar con mecanismos que proporcionen una apropiada segregación de privilegios y permisos de usuario, así como de la administración de los mismos y de los elementos relacionados.
Elementos bajo control. Sujetos y Objetos del sistema
Cuando hablemos de un sistema informático y particularmente hablando de control de acceso, mencionaremos frecuentemente los términos sujeto y objeto, elementos sobre los que se aplicará dicho control
Sujetos:
Los sujetos del sistema son los usuarios, procesos, programas o hilos que operan sobre los recursos del dispositivo.
Objetos:
Referiremos como objetos los recursos del sistema como ficheros, directorios, servicios, dispositivos de entrada/salida, puertos TCP/UDP, etc.
Basándonos en las restricciones y control de acceso a sistemas, encontramos tres tipos principales: Control de Acceso Discrecional (DAC), Control de Acceso Basado en Roles (RBAC) y Control de Acceso Obligatorio (Mandatory Access Control, MAC)
Control de Acceso discrecional (Discretionary Access control, DAC): El control de acceso discrecional es un método de restricción de acceso a objetos que se basa en la identidad de los sujetos que pretenden operar o acceder sobre ellos. El ejemplo más representativo es el mecanismo de permisos establecido por el dueño (usuario/grupo) del sujeto.
Así, es el propio dueño del objeto quien determina qué usuarios y con qué privilegios acceden a sus objetos. Este mecanismo de acceso está presente en la mayoría de sistemas operativos.
En este tipo de control de acceso es habitual el uso de atributos (lectura, escritura, ejecución, etc.) para marcar los permisos aplicado al objeto. De igual forma hay un usuario propietario y unas opciones para compartir (grupos, otros usuarios.
Según (Balado, 2005) el comercio electrónico es un papel muy importante en esta rama ya que se realiza cualquier tipo de transacción comercial y esto hace que el cliente realice toda la operación por medio de sitios web la cual debe existir seguridad en el control de acceso.
Permisos DAC en un fichero en Windows –
En el caso concreto de sistemas UNIX/Linux, los objetos del sistema (ficheros, directorios, etc cuentan con ternas de atributos de lectura (r), escritura (w), y ejecución(x). Estos permisos son asignados por el usuario propietario (user), para el grupo (group) y para terceros (others, usuarios no propietarios y no pertenecientes al grupo).
En Linux con el comando las -l podemos visualizar los permisos básicos DAC. En el siguiente ejemplo vemos un sistema, en el cual el usuario1, que pertenece al grupo1, ha fijado los permisos de lectura/escritura/ejecución (rwx) sí mismo como propietario.
Los usuarios que pertenezcan a su grupo (grupo1) tienen permisos de lectura y escritura (rw-) y únicamente permisos de lectura para cualquier otro usuario (r–):
-Permisos de acceso discrecional (DAC), clásicos en sistemas *NIX-
De esto modo cualquier acción de lectura, escritura o ejecución que no se ajuste a estos permisos, será denegado:
usuario2 puede leer, pero no modificar el fichero1 del usuario1 por los permisos asignados-
Existen otras propiedades como las ACLs (control de lista de acceso) y otros permisos especiales como sticky bit, o permisos setuid, setgid (Linux)que añaden más opciones al control de acceso DAC, pero quedan fuera del alcance introductorio de esta parte.
Control de acceso basado en roles. (Role Base Access Control, RBAC)
El control de acceso discrecional no proporciona la granularidad suficiente para permitir una segmentación más definida y estructurada en un sistema complejo con multitud de usuarios y funciones. En este caso, un mecanismo de roles aporta mayor versatilidad.
El control de acceso basado en roles consiste en la definición de perfiles (roles) a los que se les atribuyen una serie de características que aplican sobre los permisos y acciones que pueden llevar a cabo, incluyendo el control sobre otros perfiles. Es, en cierto modo un sistema jerárquico de clases. Muy utilizado en organizaciones con gran número de usuarios y donde se integran distintos grupos de trabajo o departamentos con funciones diferenciadas, como por ejemplo departamento de sistemas, departamento de desarrollo, comercial, servicios generales, etc.
Con este mecanismo se segmenta y se organiza de forma eficaz el acceso a los objetos y las tareas. Casos muy representativos de estos mecanismos son entre otros LDAP, Active Directory de Microsoft Windows o FreeIPA de Fedora/Redhat. Algunos sistemas UNIX como Solaris o AIX también implementan este sistema de privilegios.
Control de acceso obligatorio (Mandatory Access Control): Este mecanismo de acceso se complementa con anteriores y añade una capa más de seguridad para el control de acceso y de privilegios. El mecanismo MAC se basa en un "etiquetado" de todo elemento del sistema y sobre las cuales se aplicarán las políticas de control de acceso configuradas.
De este modo, cualquier operación de un sujeto sobre un objeto será comprobado las etiquetas y aplicando las políticas MAC establecidas para determinar si la operación está permitida, aún incluso cuando se hayan cumplido otros controles de seguridad. En contraste con el mecanismo discrecional de acceso, el usuario puede modificar permisos y etiquetas pero no puede fijar controles de acceso que supongan violación de las políticas MAC del sistema.
Es responsabilidad de un usuario privilegiado establecer las políticas centrales MAC que gobernarán los controles a aplicar según el etiquetado establecido. Paradigmas representativos de estos métodos de control son SELinux en distribuciones Linux Redhat/Centos/Fedora o AppArmor en Linux SuSE.
Sistema de comunicaciones de medio de datos
Comunicación de Datos. Es el proceso de comunicar información en forma binaria entre dos o más puntos. Requiere cuatro elementos básicos que son:
Emisor: Dispositivo que transmite los datos
Mensaje: lo conforman los datos a ser transmitidos
Medio: consiste en el recorrido de los datos desde el origen hasta su destino
Receptor: dispositivo de destino de los datos
BIT: es la unidad más pequeña de información y la unidad base en comunicaciones.
BYTE: conjunto de bits continuos mínimos que hacen posible, un direccionamiento de información en un sistema computarizado. Está formado por 8 bits.
Trama: tira de bits con un formato predefinido usado en protocolos orientados a bit.
Paquete: fracciones de un mensaje de tamaño predefinido, donde cada fracción o paquete contiene información de procedencia y de destino, así como información requerida para el reensamblado del mensaje.
Interfaces: conexión que permite la comunicación entre dos o más dispositivos.
Códigos: acuerdo previo sobre un conjunto de significados que definen una serie de símbolos y caracteres. Toda combinación de bits representa un carácter dentro de la tabla de códigos. las tablas de códigos más reconocidas son las del código ASCII y la del código EBCDIC.
Paridad: técnica que consiste en la adición de un bit a un carácter o a un bloque de caracteres para forzar al conjunto de unos (1) a ser par o impar. Se utiliza para el chequeo de errores en la validación de los datos. El bit de paridad será cero (0=SPACE) o uno (1=MARK).
Modulación: proceso de manipular de manera controlada las propiedades de una señal portadora para que contenga la información que se va a transmitir
DTE (Data Terminal Equipment): equipos que son la fuente y destino de los datos. Comprenden equipos de computación (Host, Microcomputadores y Terminales).
DCE (Data Communications Equipment): equipos de conversión entre el DTE y el canal de transmisión, es decir, los equipos a través de los cuales conectamos los DTE a las líneas de comunicación.
Medios, formas y tipos de transmisión
Medios
Aéreos: basados en señales radio-eléctricas (utilizan la atmósfera como medio de transmisión), en señales de rayos láser o rayos infrarrojos.
Sólidos: principalmente el cobre en par trenzado o cable coaxial y la fibra óptica.
Formas
Transmisión en Serie: los bits se transmiten de uno a uno sobre una línea única. Se utiliza para transmitir a larga distancia.
Transmisión en Paralelo: los bits se transmiten en grupo sobre varias líneas al mismo tiempo. Es utilizada dentro del computador.
La transmisión en paralela es más rápida que la transmisión en serie, pero en la medida que la distancia entre equipos se incrementa (no debe sobrepasarse la distancia de 100 pies), no solo se encarecen los cables, sino que además aumenta la complejidad de los transmisores y los receptores de la línea a causa de la dificultad de transmitir y recibir señales de pulsos a través de cables largos.
Tipos
Transmisión Simplex: la transmisión de datos se produce en un solo sentido. Siempre existen un nodo emisor y un nodo receptor que no cambian sus funciones.
Transmisión Half-Duplex: la transmisión de los datos se produce en ambos sentidos, pero alternativamente, en un solo sentido a la vez. Si se está recibiendo datos no se puede transmitir.
Transmisión Full-Duplex: la transmisión de los datos se produce en ambos sentidos al mismo tiempo. un extremo que está recibiendo datos puede, al mismo tiempo, estar transmitiendo otros datos.
Transmisión Asíncrona: cada byte de datos incluye señales de arranque y parada al principio y al final. La misión de estas señales consiste en:
Avisar al receptor de que está llegando un dato.
Darle suficiente tiempo al receptor de realizar funciones de sincronismo antes de que llegue el siguiente byte.
Transmisión Síncrona: se utilizan canales separados de reloj que administran la recepción y transmisión de los datos. Al inicio de cada transmisión se emplean unas señales preliminares llamadas:
Bytes de sincronización en los protocolos orientados a byte.
Flags en los protocolos orientados a bit.
Su misión principal es alertar al receptor del llegada de los datos.
-Las señales de reloj determinan la velocidad a la cual se transmite o recibe.
Protocolo Conjunto de reglas que posibilitan la transferencia de datos entre dos o más computadores.
Arquitectura de Niveles: el propósito de la arquitectura de niveles es reducir la complejidad de la comunicación de datos agrupando lógicamente ciertas funciones en áreas de responsabilidad (niveles).
Características
Cada nivel provee servicios al nivel superior y recibe servicios del nivel inferior.
Un mensaje proveniente de un nivel superior contiene una cabecera con información a ser usada en el nodo receptor.
El conjunto de servicios que provee un nivel es llamado Entidad y cada entidad consiste en un manejador (manager) y un elemento (worker).
OSI ( International Standards Organization)
IEEE (Institute of Electrical and Electronic Engineers)
OSI ( International Standards Organization)
En este modelo, el propósito de cada nivel es proveer servicios al nivel superior, liberándolo de los detalles de implementación de cada servicio. La información que se envía de un computador a otro debe pasar del nivel superior al nivel inferior atravesando todos los demás niveles de forma descendente, dentro del computador que origina los datos.
A su paso por cada nivel a los datos se les adiciona información que será removida al llegar a su destino. La información adicionada se clasifica en:
Información de Control, dirigida a su nivel correspondiente en el computador de destino. Cada nivel se comporta como si estuviera comunicándose con su contraparte en el otro computador.
Información de Interface, dirigida al nivel adyacente con el cual se está interactuando. El objeto de esta información es definir los servicios provistos por el nivel inferior, y como deben ser accesados estos servicios. Esta información tras ser empleada por el nivel adyacente es removida.
El modelo OSI se estructura en 7 niveles:
Según (Jordi Íñigo Griera, 2009) En este nivel se define la forma de conectarse el cable a las tarjetas de red, cuantos pines debe tener cada conector y el uso funcional de cada uno de ellos. Define también la técnica de transmisión a emplear para el envío de los datos sobre el medio empleado. Se encarga de activar, mantener y desactivar un circuito físico. Este nivel trata la codificación y sincronización de los bits y es el responsable de hacer llegar los bits desde un computador a otro.
Nivel Físico: este nivel dirige la transmisión de flujos de bits, sin estructura aparente, sobre un medio de conexión. Se encuentra relacionado con condiciones eléctricos-ópticas, mecánicas y funcionales del interfaz al medio de transmisión. A su vez está encargado de aportar la señal empleada para la transmisión de los datos generados por los niveles superiores.
Nivel de Enlace de Datos: este nivel se encarga, en el computador de origen, de alojar en una estructura lógica de agrupación de bits, llamada Trama (Frame), los datos provenientes de los niveles superiores. En el computador de destino, se encarga de agrupar los bits provenientes del nivel físico en tramas de datos (Frames) que serán entregadas al nivel de red. Este nivel es el responsable de garantizar la transferencia de tramas libres de errores de un computador a otro a través del nivel físico.
Nivel de Red: es responsable del direccionamiento de mensajes y de la conversión de las direcciones lógicas y nombres, en direcciones físicas. Esta encargado también de determinar la ruta adecuada para el trayecto de los datos, basándose en condiciones de la red, prioridad del servicio, etc. El nivel de red agrupa pequeños fragmentos de mensajes para ser enviados juntos a través de la red.
Nivel de Transporte: se encarga de la recuperación y detección de errores. Garantiza también, la entrega de los mensajes del computador originados en el nivel de aplicación. Es el nivel encargado de informar a los niveles superiores del estatus de la red.
Nivel de Sesión: permite que dos aplicaciones residentes en computadoras diferentes establezcan, usen y terminen una conexión llamada sesión. Este nivel realiza reconocimientos de nombres y las funciones necesarias para que dos aplicaciones se comuniquen a través de la red, como en el caso de funciones de seguridad.
Nivel de Presentación: determina el formato a usar para el intercambio de datos en la red. Puede ser llamado el traductor de la red. Este nivel también maneja la seguridad de emisión pues, provee a la red servicios como el de encriptación de datos.
Nivel de Aplicación: sirve como ventana para los procesos que requieren acceder a los servicios de red.
IEEE
El modelo desarrollado por IEEE, también conocido como el proyecto 802, fue orientado a las redes locales. Este estándar está de acuerdo, en general con el modelo ISO, difieren principalmente en el nivel de enlace de datos. Para IEEE este nivel está dividido en dos subniveles:
MAC (Medium Access Control): subnivel inferior, provee el acceso compartido de las tarjetas de red al medio físico, es decir, define la forma en que se va a acceder al medio físico empleado en la red para el intercambio de datos.
LLC (Logical Link Control): subnivel superior, maneja la comunicación de enlace de datos y define el uso de puntos de interfaz lógico, llamado SAP (Servicie Access Points) de manera que otros computadores puedan emplear el mismo formato para la comunicación con los niveles superiores independientemente del MAC empleado.
Clasificación de los Protocolos de Enlace de Datos
De acuerdo a su estructura
Protocolos Orientados a Bit: son aquellos protocolos en los cuales los bits por si solos pueden proveer información, son protocolos muy eficientes y trabajan en tramas de longitud variable.
Protocolos Orientados a Byte: son aquellos en los que la información viene provista por la conjunción de bytes de información y bytes de control.
De acuerdo a su disciplina de comportamiento
Protocolos de Sondeo Selección: son aquellos que utilizan un DTE como nodo principal de canal. Este nodo primario controla todas las demás estaciones y determina si los dispositivos pueden comunicarse y, en caso afirmativo, cuando deben hacerlo.
Protocolos Peer to Peer: son aquellos en los cuales ningún nodo es el principal, y por lo general todos los nodos poseen la misma autoridad sobre el canal.
AREITIO J, J. A. (2008 ). Seguridad de la información. Redes, informática y sistemas de información. madrid españa: Paraninfo.
Balado, E. S. (2005). La nueva era del comercio: el comercio electrónico : las TIC al servicio . españa: Editorial S.L.vigo.
Gerónimo, A. F. (2009). Modelo OSI. El Cid Editor.
Jordi Íñigo Griera, J. M. ( 2009). Estructura de redes de computadores. barcelona: UOC.
Autor:
Ingeniería del sotfware