Seguretat lògica

Seguretat Lògica

La seguretat lògica consisteix en l'aplicació de barreres i procediments que resguarden l'accés a les dades i que només es permeti accedir a elles a les persones autoritzades a fer-ho.

Per tant, la seguretat lògica es sustenta en el control d'accés als recursos informàtics (identificació, autenticació i autorització) i en la efectiva administració i gestió dels permisos.

Control d'accés lògic

El control d'accés lògic és la principal mesura de defensa per la majoria de sistemes i d'aquesta forma impedir l'accés a aquests per part de persones no autoritzades.

Per controlar aquest accés s'utilitzen els seguents processos:

  • Identificació: quan l'usuari es dona a conèixer en el sistema.
  • Autenticació: La verificació, mitjançant les proves pertinents, que és realitza d'aquesta identificació.
  • Finalment, l'autorització és el pas que determina què pot fer l'usuari al sistema.

Single login o sincronització de passwords, és com es denomina el fet que des de el punt de vista de la eficiència, els usuaris siguin identificats i autenticats només una vegada, i a partir d'aquí accedir a totes les aplicacions, dades i recursos que el seu perfil li permeti.

Per implementar el single login una de les formes seria utilitzant un servidor d'autenticacions. Aquest s'encarrega, un cop els usuaris s'han identificat sobre ell, d'autenticar-los sobre la resta d'equips als que l'usuari pugui accedir. Uns exemples d'aquest tipus de servidors els tindríem en els servidors LDAP (GNU/Linux) i Active Directory (Windows Server).

Qualsevol sistema amb un control d'accés per contrasenya, acostuma a ser un un punt crític en la seguretat i per això acostumen a rebre diferents atacs, els més comuns són:

  • Atac de força bruta: S'intenta recuperar una clau provant totes les combinacions possibles fins trobar aquella que permeti l'accés. Quan més curta, més senzilla de trobar provant combinacions.
  • Atac de diccionari: Prova de trobar la clau provant totes les paraules d'un diccionari o conjunt de paraules comuns. Ja que la gent al posar una clau acostuma a fer-ho amb alguna paraula existent en el seu idioma (o en algun altre) perquè és més fàcil de recordar (cosa que no es gens recomanable).

Una forma "senzilla" per protegir un sistema amb contrasenya de possibles atacs de força bruta o de diccionari, és establint un nombre màxim d'intents. Així si es sobrepassa es bloqueja el sistema.

Polítiques de contrasenyes

Tenint clar que com hem anat recordant no hi ha res 100% segur, perquè una cotrasenya sigui segura hauríem de seguir les següents recomanacions:

  • Longitud mínima: sabem que cada caràcter que afegim a una contrasenya augmenta exponencialment el grau de protecció d'aquesta. Per tant la longitud mínima hauria de ser de 8 caràcters, tot i que l'aconsellable serien 14.
  • Combinació de caràcters (lletres majúscules i minúscules, nombres i símbols especials): quan més variació de caràcters fem, més difícil serà endevinar-la.

Per un atac de força bruta, si utilitzem una contrasenya de 5 caràcters en míniscula per idioma espanyol que té 27 caràcters diferents, tindria que provar 275=14 348 907 combinacions.

Si utilitzéssim majúscules i minúscules les combinacions augmentarien de manera que seria (27*2)5= 525=380 204 032 combinacions.

Per evitar utilitzar contrasenyes fàcils d'endevinar hauríem de seguir les següents recomanacions:

  • No incloure seqüències ni caràcters repetits ("12345678", "2222222", "abcdefg")
  • No utilitzar el nom d'inici de sessió.
  • No utilitzar paraules de diccionari de ningun idioma.
  • Utilitzar varies contrasenyes per a diferents entorns.
  • Evitar la opció de contrasenya en blanc.
  • No desvetllar la contrasenya a ningú i no escriure-la en equips que no controles.
  • Canviar les contrasenyes amb regularitat.

Els diferents nivells de control d'accés per contrasenyes serien:

  • 1er. nivell: contrasenya d'arrancada i de la propia configuració de la BIOS.
  • 2on. nivell: control mitjançant contrasenya dels gestors d'arrencada (per exemple: grub).
  • 3er. nivell: accés mitjançant usuari i contrasenya per part dels sitemes operatius.
  • 4art.nivell: contrasenya i xifrat d'accés a dades i aplicacions (arxius ofimàtics, comprimits, llocs web, etc..).

Control d'accés en la BIOS i gestor d'arrancada

La BIOS (Basic Input/Output System) és el nivell més baix de software que configura o manipula el Hardware d'un ordinador de forma que cada vegada que iniciem l'ordinador aquest s'encarrega de reconèixer tot el Hardware que conté l'ordenador i controlar a l'estat dels mateixos.

Com en la BIOS podem establir quin Hardware utilitzar, l'ordre d'arrancada, etc. hem de protegir-la de forma que només un Administrador o usuari responsable pugui modificar aquests valors.

Segon el model de BIOS podem tenir diverses opcions, entre elles:

  • Seguretat del sistema (system): en cada arrancada de la màquina ens demanarà introduir una contrasenya, si no es correcte el sistema no arrancarà.
  • Seguretat de configuració de la BIOS (setup): aquí s'acostuma a distingir entre dos rols:
    • Usuari (només lectura)
    • Administrador (lectura/modificacions)

Control d'accés en el sistema operatiu

Hi han sistemes d'accés al sistema operatiu molt segurs com accés per empremta dactilar, però el més utilitzat segueix sent a través de contrasenya associada a una compte d'usuari.

Hi han sistemes per accedir als SO sense control de contrasenya, entre ells els d'arrancar amb una distribució Live per poder recuperar o conèixer les contrasenyes de qualsevol usuari, així com esborrar-les o modificar-les.

Com a recomanació, podem utilitzar aquestes eines per auditar els nostres sistemes i comprovar la fortalesa de les nostres contrasenyes, ja que si les fem bé serà molt difícil recuperar-les amb aquestes eines.

Política d'usuaris i grups

La definició de comptes d'usuaris i la seva assignació de rols, perfils, grups, com els privilegis sobre els objectes del sistema, etc. són aspectes fonamentals de la seguretat i una de les tasques principals de l'administrador de sistemes. Aquest procés comporta generalment quatre punts:

  • Definició de llocs: Separació de funcions possibles depenent dels diferents llocs de treball.
  • Determinació de la sensibilitat del lloc: determinar si una funció requereix permisos crítics que li permetin alterar procesos, visualitzar informació confidencial, etc...
  • El·lecció de la persona para cada lloc: requereix considerar els requeriments d'experiència i coneixements tècnics necessaris per a cada lloc.
  • Fomació inicial i continua dels usuaris: han de conèixer les diferents pautes de la organització, la seva responsabilitat en quan a la seguretat informàtica i el que s'espera d'ells. Ha d'estar orientada a incrementar la consciència de la necessitat de protegir els recursos informàtics.

La definició dels permís d'accés requereix determinar quin serà el nivell de seguretat necessari sobre les dades, per el que és imprescindible classificar la informació, determinant el risc que produiria una eventual exposició de la mateixa a usuaris no autoritzats.

Per començar la implementació es convenient començar definint les mesures de seguretat sobre la informació més sensible o les aplicacions més crítiques i avançar d'acord a un ordre de prioritat descendent. Un cop establert per les dades, s'hauran d'establir les mesures de seguretat per a cadascun dels nivells.