CONTROL DE

ACCESO DE
USUARIO
TRABAJO DE REDES II
INGENIERIA DE SISTEMAS
 CRACTERISTICAS GENERALES

Para la selección de usuario se hace una

identificación de usuario o grupo, los métodos
para identificar personas son:
Por las características físicas: Biométricos.
Por un secreto compartido: contraseña
(passwords).
Por la posesión de un objeto(software,
hardware): Tokens o certificados digitales.
Los sistemas mas utilizados son de contraseñas, con algunos variantes
dependiendo de la aplicación, los sistemas biométricos son mucho mas
nuevos y se desarrollan a gran velocidad, en poco tiempo se
incorporaran a muchos aspectos de sistemas de seguridad, los sistemas
de posesión de objetos son los mas antiguos en control de acceso, se
utiliza muy poco por los gastos que implica un identificador de objetos.
Actualmente se desarrollan los acceso por sistemas criptográficos
llamados certificados digitales.

Puede combinar sistemas para aumentar la seguridad pueden usarse los

tres tipos de sistemas(usar contraseña, tarjeta inteligente y huella
digital).
Los controles de acceso de usuario se clasifican por ubicación del filtro:
§ Servidor, permite el acceso remoto y local.
§ Filtro de la red, solo controla acceso remoto.
Por ultimo los sistemas de control de acceso se clasifican
por organización:
§ DAC( Diccionary Access Control): el creador de ficheros
define permisos de los objetos(ficheros recursos, etc.)
desde la administración se crea grupos de usuarios,
usuarios genéricos. Es el control habitual de S.O. de
Windows de Microsoft, UNIX, etc. Son vulnerable a caballos
troyanos.
§ MAC.( Mandatory Access control): La administración de
S.O. asigna permisos a los objetos, el S.O. crea un numero
de etiqueta secreta con derechos de acceso asignados y
cada objeto tiene su etiqueta , una protección contra
troyanos es hacer que cada nivel pueda escribir a los de su
nivel o superior fichero y leer los de su nivel o inferior.
§ RBAC(Role-Base Access Control) los roles son funciones
muy concretas que realiza un usuario dentro de la empresa,
asi cada usuario se le asigna unos roles y cada rol tiene
permisos sobre objetos, no mantiene la rigidez de DAC o la
inseguridad de MAC, los roles se acercan mas a la
 CONTROL POR CONTRASEÑAS

Las contraseñas son un punto débil de los sistemas de seguridad,

son el sistema mas sencillo, popular y probado, son
imprescindible pero son el principal método para acceder sin
permiso, en los S.O. y aplicaciones con filtro las contraseñas se
deben guardar encriptado en ficheros, el inconveniente es que
estos ficheros no pueden tener permisos restringidos, lo
solucionamos dando permiso de administrador al fichero y que
el usuario por defecto cuando introduzca la contraseña fuera el
administrador, seria peligroso porque cualquiera tendría permiso
de administrador .
Si los ficheros son accesibles, basta que el atacante desencripte la
contraseña, pero para dificultar esto, utilizamos sistemas de
encriptación irreversible y además el descubrimiento de una
contraseña no da pista sobre otras.
 EJEMPLOS DE CONTROL DE CONTRASEÑA
UNIX
El fichero guarda: el nombre del usuario, contraseña encriptada, información
necesaria para el Shell, la contraseña se encripta con el algoritmo crpt(3), en
UNIX concretos cript(16).
Econtraseña[Econtraseña…..[Econtraseña[0]……..[ ] Estas función se realiza 25 veces.

Econtraseña es realizar un algoritmo DES modificado por 2 números denominados SALT,

el SALT son 2 números calculados aleatoriamente y se graban en el ficheros con la
contraseñas.los motivos de usar SALT son:
Ø No se puede usar un circuito electrónico que implemente DES para ir mas rapido
Ø La misma contraseña encriptada en dos maquinas tiene resultado diferente.

La clave del algoritmo es la contraseña y siempre se encripta un 0 binario, la

contraseña de UNIX tiene longitud máxima de 8 caracteres que es la clave de DES,
algunos sistemas especiales permiten frases como contraseñas( passphrase), esto
refuerza la seguridad frente a los ataques
 EJEMPLOS DE CONTROL DE CONTRASEÑA
WINDOW NT
Estos servidores permiten 2 formas de codificar contraseñas, la forma propia y
de LANManager.
En Windows NT se busca dar mas velocidad al proceso acosta de
criptolografia débil, los atacantes no rompen los algoritmos sino que los usan
para probar contraseñas, este sistema no basa su seguridad en la fortaleza del
algoritmo, se consigue mas velocidad que en UNIX, es mas cómodo para el
usuario pero facilita el trabajo del atacante.
El sistema es:
Hash [hash[contraseña]]
Las propiedades Hash:
Ø Irreversibles por que las funciones Hash son irreversibles.
Ø El conocimiento de una contraseña y su encriptación no da información
para descubrir otras.
Permite frases largas como contraseñas ya que las funciones Hash resumen
texto de cualquier longitud variable
 ATAQUES A CONTRASEÑAS

Las contraseñas son un punto muy vulnerable de la seguridad del sistema de

información, las formas de poder descubrir las contraseñas de usuarios se
pueden agrupar en:
Con acceso a ficheros de contraseñas adivinarlas es cuestión de tiempo, para
ello se utilizan programas Cracker que lo que hacen es probar posibilidades
hasta encontrar las que al encriptarse coinciden, hay dos métodos de elegir
posibles palabras:
Ø Diccionario: Prueban todas las palabras que puedan haber en una
enciclopedia, nombres de personas, animales, nombres
comunes(Diccionario) para varios idiomas y signos de puntuación, ir
haciendo pasadas y signos de puntuación, intercambiando numeros.
Ø Prueba y Ensayo(Task force) :se prueban todas las combinaciones de
letras, numeros y signos posibles, es mas lento que el Diccionario,
normalmente se va aumentando el numero de caracteres de forma
progresivas, así se encuentra primero la contraseña mas corta
 CABALLOS DE TROYAS
Caballos de Troya
Se sustituyen programas útiles por aplicaciones preparadas por el atacanteque
tienen el mismo nombre, os ejecuta el mismo usuario pensando que es un
programa, modifica o destruye información, sirven para la captura de
contraseñas sustituyendo unos de los programas que trata la contraseña,
capturando el teclado, transmisiones por la red si se envía en claro.
Ingeniería social: Se trata de descubrir las contraseñas atreves del propio
usuario, los métodos puede ser observar el teclado cuando se introduce la
contraseña, pedirlo por e-mail o haciéndose pasar por administradores.
Espías de la red: Si se instala en una maquina un programa llamado sniffer
este captura toda la información que circula por Ethernet o Token Ring, estos
programas descubren las contraseñas mientras circulan por la red si no están
encriptada. Y si la encuentra encriptada los utilizan repitiendo el mensaje
como respuesta a una petición de identificación,
 DEFENSAS A ATAQUES A CONTRASEÑAS
Nos podemos defender de estos ataques se puede trabajar en tres líneas._
Política de personal: Van orientadas a aconsejar u exigir al personal a
cumplir las PSI, así las políticas pueden fijar normas como:
Tamaño mínimo
Cambio cada cierto tiempo.
Intercalar letras y números.
Herramientas de programas: pueden ser opciones de S.O., programas
complementarios al sistema o programa de inspección, los objetivos son:
Obligar por software a cumplir políticas de personal.
Atacar con Cracker u otro programa para probar la resistencia del sistema.
Cancelar cuentas que han recibidos intentos de acceso falidos.
Sistemas de contraseña de un uso: son llamados OTP(one time
password), donde la contraseña del usuario cambia cada ves que lo usa,
los parametros:
Una funciòn Hash.
 ALGORITMO DE UNA OTP
Nº secuencia = Nº secuencia
+1

Palabra aleatoria
Función
Passwords OTP
interactiva
Frase secreta del
usuario

N= Nº
secuencia
Función
interactiva
Función
Hash

4
N= N - 1
no si
N=
0
 SISTEMAS BIOMETRICOS
Estos sistemas usan una características físicas de usuarios (autentificadores), el
usuario debe de tener características únicas y no cambiar con las
circunstancias ni con el tiempo, son sistemas mucho mas seguros sobre todo si
se combinan con otros, las ventajas:
Intransferible, el atacante no lo puede usar aunque lo conozca
No necesita gestión del usuario para cambiarlo o reemplazarlo, etc.
Sirven tanto para acceso físicos y lógicos
Seguros de cualquier ataque.
Desventajas :
Necesita electrónica adicional para realizar lectura de imagen.
La tecnología no esta muy avanzada.
Tienen ciertos rechazo del usuario ante la exposición de un sensor.
No son exacto.
Hay perjuicio moral ya que las características personales son invariables y
hacerlas publicas implica estar fichado para toda la vida.
 FACES DE IDENTIFICACION BIOMETRICA
En una identificación biométrica se realizan los siguientes faces:
Captar la imagen o sonido relativa al autentificador dela persona
mediante un sensor.
Modificar los datos brutos de imagen y sonido mediante técnica de
tratamiento de señal para extraer datos básicos y únicos de usuarios.
Comparar estos parámetros con los almacenados
En el proceso de comparación hay dos métodos : Identificación y Verificación
Identificación: consiste en encontrar en una BD de parámetros biométricos si
los medidos coinciden con algún usuario.
Verificación: compara directamente los parámetros medidos con los del
usuario y según la aproximación matemática se considera el acceso permitido
o denegado
 MEDIDASDE SISTEMAS BIOMETRICOS
Emisión de calor: mide la emisión termografico del cuerpo.
Huella digital: Aprovecha las características diferentes de las huella
digitales de los usuarios, se necesita un escáner de dedos, es un equipo
barato.
Mano: es fácil de implementar, el problema es que varia en tiempo y
condiciones físicas, se deben de renovar los patrones de ves en cuando.
Cara: Debe medir características únicas e invariables con el tiempo y las
expresiones de la cara como separación de ojos boca, nariz, etc.,
Iris: El iris tiene muchas líneas concéntricas que son diferente en todos
los humanos, El rechazo social es el único inconveniente.
Retina: Se puede usar en sistemas donde es importante el acceso de
atacantes , tiene el mismo rechazo social del sistema del iris.
Voz: Se graba la dirección de una frase, siempre la misma por el usuario y
en los accesos se compara la vos, es muy sensible a los ruidos externos o
al envejecimiento, es el único que se puede transferir, los atacantes pueden
hacer una grabación y atacar,
 ACCESO CON OBJETOS FISICOS:TOKENS
Los Tokens son objetos utilizados para el control de acceso de usuario, pueden
ser:
Memorias: Guardan una palabra clave, es posible usar contraseñas
aleatorias sin necesidad de recordarlas.
Inteligentes: Son equipos electrónicos que realizan un algoritmo donde se
crea contraseña de un uso o se genera un protocolo entre el servidor y el
Token certificado.
Pueden ser contenidos en:
Tarjetas magnéticas: solo permite memoria y se necesita un lector magnético
Memoria EPROM o flash, se introduce en llaveros y otros objetos pequeños,
permite guardar contraseñas sin inteligencia.
Calculadoras: pequeños ordenadores que permiten inteligencia , se comunican
con el usuario mediante teclado , displays y/o conexiones serie al ordenador.
 ACCESO CON CERTIFICADO DIGITALES
Este sistema usa criptologia para dar un objeto lógico, no físico a los usuarios
con permisos, esta protegido contra robo, perdidas y repeticion de mensajes, el
usuario autorizado debe tener:
Una clave privada de algún algoritmo asimétrico.
Certificado digital con la clave publica pareja a la privada y firmado
digitalmente por el servidor.
Los algoritmos asimétricos funcionan con 2 claves, con una se encripta y con
otra se desencripta, no se puede encriptar y desencriptar con la misma.
El certificado digitales un objeto logico que contiene:
Nombre y datos del usuario.
Clave publica del usuario.
Datos e informaciones generales.
La firma digital de una tercera persona.
La tercera persona avala que la clave publica, asi la seguridad se basa en la
corrección de firma digital de la tercera persona.
 FIRMA DIGITAL

Una firma digital se realiza haciendo un resumen del

texto y encriptandolo con la clave privada del firmante,
así al desencriptarlo con la publica y comparándolo con
el resumen se puede comprobar que:

El texto no ha sido modificado porque los resúmenes

coinciden.
La firma de la persona que tiene la clave privada pareja
de la publica utilizada para desencriptar.
 =
N Usuario Servidor
o
m
b
r
e/
K Firma del
U Certificad
/I o
nf
./
Fi
r Numero aleatorio - N
m
Ea
K
P
[
N
] Certificado
KU

DKU[N]=
N

Acceso Permitido
El proceso puede complicarse pero se debe basar en los mismos principios.
La posición del certificado digital correctamente firmado implica que este
usuario tiene la clave primaria pareja de la publica indicada y se ha recibido
del servidor.
La posibilidad de encriptar con la clave privada indica que la persona que ha
enviado el certificado es quien indica ser, se evita los ataques de personas que
han robado los certificados por la red.
¿Como dar de baja un usuario?
Todos los certificados tienen fecha de caducidad.
Lista de revocación de certificado (CRL) si se quiere dar de baja y no esta
caducado se añade a la CRL hasta que caduque.
Los certificados son como carnet de identidad por lo que indica mucha gestión
del servidor, así para activar un grupo de usuarios debe de crear un certificado
para cada usuario, además para un usuario para varios accesos puede presentar
complicaciones tener que gestionas diversas claves privadas y certificados, la
solución es un sistema nuevo llamado certificado de atributos
 CONTROL DE ACCESO CON CERTIFICADOS DIGITALES
Los certificados de atributos añaden una filosofía nueva universal para la
seguridad y los controles de acceso, esto debe de ser como el carnet de
identificación asignada por una entidad confiable para todos (Policia) el
formato de certificado individual debe de ser estándar para todo el mundo y
las entidades deben de ser reconocidas y los firmantes deben de ser
reconocidos por todo el mundo, Para aplicaciones concretas como el control
de acceso se usan certificados de atributos y tienen las sig. características:
Explican atributos concretos de la persona física o jurídica: Pasaporte.
Tienen formato libre y expedidos por cualquiera.
Siempre se entregan con certificado personal que avala a la persona
propietaria de los atributos: carnet de miembro de un Club, Gafete de una
empresa.
¿Como transportar el certificado? si siempre se accede desde una maquina
se puede grabar el disco, pero en control de acceso de usuario se deja al
usuario libertad de maquina, la solución es utilizar un Tokens (en concreto
tarjetas chip) donde se almacena los certificados y se implementan los
protocolos.