Capítulo 5: Gestión de

Identidad y Acceso
Joel Morrobel
Terminologías
• Challenge Handshake Authentication Protocol (CHAP), Un protocolo de autenticación que reautentica periódicamente.
• Tasa de error de cruce (CER), El punto en el que el FRR y FAR son iguales. A veces se llama la tasa de error igual (ERR).
• Prevención de ejecución de datos (DEP), Cualquier técnica que impida que un programa se ejecute sin la aprobación del usuario.
• Prevención de pérdida de datos (DLP), Software o técnicas diseñadas para detectar intentos de extraer datos.
• Tasa de aceptación falsa (FAR), La velocidad a la que una solución biométrica permite en individuos que debería haber rechazado.
• Tasa de rechazo falso (FRR), La velocidad a la que una solución biométrica rechaza a las personas que debería haber permitido.
• Federación, Una colección de redes informáticas que acuerdan estándares de operación, como las normas de seguridad.

• HIDS, Un sistema de detección de intrusiones basado en host. Un HIPS es un sistema de prevención de

intrusiones basado en host.
• Kerberos, Un protocolo de autenticación desarrollado en el MIT que utiliza vales para la autenticación.
• Menor privilegios, El principio de que cualquier usuario o servicio sólo tendrá suficientes privilegios de
acceso para hacer su trabajo y no más.
• NIDS, Un sistema de detección de intrusiones basado en red. Un NIPS es un sistema de prevención de
intrusiones. A diferencia de un HIDS/HIPS, un NIDS/NIPS escanea todo un segmento de red.
• Escáner de red, Una herramienta que enumera la red y proporciona un mapa de la red.
• OAUTH Open Authorization standard, Es un método común para autorizar sitios web o aplicaciones para
acceder a la información.
•
 Herramientas de
evaluación de redes
Analizador de protocolos
• Los analizadores de protocolo, también llamados rastreadores de paquetes, son algunas de las
herramientas más comunes utilizadas por los administradores de red. Esencialmente, estas
herramientas examinan el tráfico actual en una red y le permiten ver ese tráfico y capturar una
copia del tráfico para su análisis posterior. En esta sección, echaremos un breve vistazo a dos de
las herramientas más comunes.
• El monitoreo del tráfico en su red es un paso esencial en la seguridad. El tráfico impar podría
indicar un ataque de denegación de servicio, alguien exfiltrando datos o cualquier número de
problemas de seguridad.
• Herramientas / Programas:
• Tcpdump
• Wireshark
Escáneres de red

• La exploración de red es diferente del rastreo de paquetes. Con el escaneo en red, usted está
literalmente tratando de averiguar lo que hay en su red. Esto puede parecer una tarea extraña. ¿No
deberías saber ya lo que hay en tu red? Lo ideal es que debería saberlo. Sin embargo, las redes cambian
con el tiempo y no se documentan todos los cambios. Un escáner de red o un mapeador de red puede
enumerar todo lo que hay en su red, lo que le ofrece una vista actualizada de lo que hay en su red.
• También es una manera perfecta de detectar sistemas no fiables. Es totalmente posible que alguien haya
añadido un ordenador, un punto de acceso inalámbrico o incluso varios servidores que no conocía.

• Herramientas / Programas:
• Solarwinds
Escáneres inalámbricos

• Las redes inalámbricas son omnipresentes hoy en día. Por esta razón, escanear la red inalámbrica, e
incluso probar su seguridad al intentar descifrarla, es una actividad importante para cualquier
administrador de red. Los escáneres de red mencionados en la sección anterior se pueden utilizar para
redes inalámbricas, pero también hay herramientas diseñadas específicamente para Wi-Fi que puede
utilizar.
• Herramientas / Programas:
• Aircrack
• Pwdump
• Ophcrack
Escáneres de vulnerabilidad
• Es importante que analice la red en busca de vulnerabilidades. El objetivo es encontrar y corregir
vulnerabilidades antes de que un atacante las encuentre. Algunas de estas herramientas buscan
vulnerabilidades generales, otras analizan específicamente las vulnerabilidades de las páginas web y
otras analizan para ver si sus sistemas están configurados correctamente. Algunos de los escáneres más
utilizados serán discutidos en esta sección.
• Tipos de Escáneres de Vulnerabilidad:
• Activos ( Nessus, MBSA, OWASP ZAP)
• Pasivos( Netcraft.com, Shoda.io, isc.sans.edu)
• Explotaiton Framework
Herramienta de Línea de Comando

• Ping
• Netstat
• Tracert
• Nslookup
• Arp
• Ipconifg/ifconfig
Solución de problemas
comunes de seguridad
Problemas de acceso
• Buenas contraseñas
• Almacenamiento de contraseñas
• Privilegios mínimos
• Protocolos
• Autenticación fuerte
Problemas de configuración
• Contraseñas predeterminadas
• Falta de parches
• Limitar el acceso de administrador
• Filtrado
• Registro
Problemas con certificados digitales
• Emisión de certificados de forma segura
• El uso de certificados autofirmados
• La revocación de certificados es otro tema importante a tratar
Problemas de personal
• A menudo se dice en la ciberseguridad que la mayor amenaza es el infiltrado. Desafortunadamente, esto
es cierto. Ya sea que provenga de una malversación intencional de un empleado descontento o
simplemente de un error debido a la falta de conocimiento o descuido, el hecho es que los expertos
pueden causar una enorme cantidad de daño.
• Algunos inconvenientes mas frecuentes son:
• El incumplimiento de las políticas
• Los expertos también son vulnerables a la ingeniería social
• Redes sociales
• El uso del correo electrónico personal en el trabajo es otro problema de seguridad
•
Otros Inconvenientes

• Instalación de software no autorizado

• Software sin licencia
• SMS/MMS
Identificación Vs Autenticación
• En el mundo físico, la mejor analogía sería que cualquier persona puede afirmar ser cualquier persona
(identificación). Para probarlo (autenticación), sin embargo, esa persona necesita proporcionar alguna
evidencia, como una licencia de conducir, pasaporte u otra prueba no refutable.
• Los sistemas o métodos de autenticación se basan en uno o más de estos cinco factores:
1. Algo que sabes, como una contraseña o un PIN. Esto se conoce a menudo como tipo I.
2. Algo que tenga, como una tarjeta inteligente, un token o un dispositivo de identificación. Esto se conoce a
menudo como Tipo II.
3. Algo que eres, como tus huellas dactilares o patrón de retina (a menudo llamado biometría). Esto se conoce a
menudo como tipo III.
4. Algo que haga, como una acción que debe realizar para completar la autenticación. Esto no tiene un tipo (I, II,
III).
5. En algún lugar que se encuentra (esto se basa en la geolocalización). Esto no tiene un tipo (I, II, III).
Autenticación (factor
único) y autorización

• La forma más básica de autenticación

se conoce como autenticación de
factor único (SFA), porque solo se
comprueba un tipo de autenticación.
SFA se implementa más a menudo
como la combinación tradicional de
nombre de usuario y contraseña.
•
 • Cuando se incluyen dos o más métodos de acceso como parte del proceso de
autenticación, está implementando un sistema de autenticación multifactor.
Autenticación Un sistema que utiliza tarjetas inteligentes y contraseñas se conoce como un
sistema de autenticación de dos factores. Este ejemplo requiere una tarjeta
multifactor inteligente y un proceso de contraseña de inicio de sesión.
•
Biometrico

• Una forma muy segura de autenticar

a los usuarios es mediante el uso de
la biometría. La autenticación
biométrica es de tipo III, algo que
eres. Estos pueden ser escáneres de
huellas dactilares, escáneres de
mano completa, escáneres oculares
(incluidos escáneres de retina o iris),
reconocimiento facial o
reconocimiento de voz.
•
Federaciones
• Una federación es una colección de redes informáticas que están de acuerdo en los estándares de
operación, como los estándares de seguridad. Normalmente, se trata de redes que están relacionadas de
alguna manera. En algunos casos, podría ser una asociación de la industria que establece tales normas.
• Una identidad federada es un medio para vincular la identidad de un usuario con sus privilegios de una
manera que se puede utilizar a través de los límites empresariales (por ejemplo, Microsoft Passport o
google checkout). Esto permite a un usuario tener una sola identidad que puede utilizar en diferentes
unidades de negocio y tal vez incluso negocios completamente diferentes.
•
Posibles problemas de
autenticación y acceso
Acceso transitivo, La palabra transitiva significa implicar la transición, tenga esto en cuenta a medida que aprende cómo
se producen los problemas de acceso transitivo. Con acceso transitivo, una parte (A) confía en otra parte (B). Si la
segunda parte (B) confía en otra parte (C), puede existir una relación donde la primera parte (A) también puede confiar
en el tercero (C). Esto se describe a veces como confianza transitiva.
LDAP
• Lightweight Directory Access Protocol (LDAP) es un protocolo de acceso a directorios
estandarizado que permite realizar consultas de directorios (específicamente, directorios
basados en X.500 de pareddown). Si un servicio de directorio admite LDAP, puede consultar
ese directorio con un cliente LDAP, pero es ldap en sí el que está creciendo en popularidad y se
está utilizando ampliamente en páginas blancas y amarillas en línea.
• LDAP es el protocolo de acceso principal utilizado por Active Directory. Funciona, por defecto,
en el puerto 389.
• La sintaxis LDAP utiliza comas entre nombres. Debido a que una brecha de LDAP puede ser
bastante grave, algunas organizaciones utilizan secureLDAP. Con LDAP seguro (LDAPS), todas
las comunicaciones LDAP se cifran con SSL/TLS y se utiliza el puerto 636.
•
 PAP, SPAP, y CHAP

• PAP, Password Authentication Protocol es un método antiguo e inseguro de autenticación.

Esencialmente, el nombre de usuario y la contraseña se envían en texto sin cifrar. EL PAP se utilizó
antes de que los rastreadores de paquetes estuvieran ampliamente disponibles. Ahora es inseguro y
no debe utilizarse.
• SPAP, El protocolo de autenticación de contraseña de Shiva simplemente cifra el nombre de usuario y
la contraseña. Esto evita que un rastreador de paquetes contrate el nombre de usuario y la
contraseña, pero no hace nada para limitar los ataques de repetición o el secuestro de sesión.
• CHAP, Challenge Handshake Authentication Protocol es un protocolo de autenticación moderno en
uso hoy en día. Con este protocolo, cuando los usuarios envían su nombre de usuario y contraseña al
servidor (cifrado, por supuesto), el servidor autentica primero al usuario. A continuación, una vez
completada la autenticación, el servidor indica al equipo cliente que genere algún número aleatorio (a
menudo un hash criptográfico) y lo envíe al servidor (cifrado también, por supuesto).
Kerberos
• Kerberos, es un protocolo de autenticación que lleva
el nombre del mítico perro de tres cabezas que
estaba a las puertas de Hades. Originalmente
diseñado por EL MIT, Kerberos es muy popular como
método de autenticación. Permite un inicio de sesión
único en una red distribuida.
• La autenticación Kerberos utiliza un centro de
distribución de claves (KDC) para organizar el
proceso. El KDC autentica la entidad de seguridad
(que puede ser un usuario, programa o sistema) y la
proporciona un vale. Después de emitir este vale, se
puede utilizar para autenticarse en otras entidades
de seguridad. Este proceso se produce
automáticamente cuando otra entidad de seguridad
realiza una solicitud o servicio.
•
Trabajar con RADIUS

• El servicio de usuario de acceso telefónico de

autenticación remota (RADIUS) es un
mecanismo que permite la autenticación de
conexiones remotas y otras conexiones de
red. Originalmente diseñado para su uso en
conexiones de acceso telefónico, se ha
movido mucho más allá de eso y ofrece
muchas características de última generación.
El protocolo RADIUS es un estándar IETF,y ha
sido implementado por la mayoría de los
principales fabricantes de sistemas
operativos.
TACACS, TACACS+,
XTACACS

• El sistema de control de acceso del controlador de

acceso del terminal (TACACS) es un entorno orientado
al cliente-servidor, y actúa de una manera similar a
RADIUS. TacACS extendido (XTACACS) reemplazó la
versión original y combinó la autenticación y la
autorización con el registro para habilitar la auditoría.
• El método más actual, o nivel, de TACACS es TACACS+.
Reemplaza las dos encarnaciones anteriores. TACACS+
permite que las credenciales sean aceptadas de los
métodos múltiples, incluyendo el Kerberos. El proceso
cliente-servidor TACACS ocurre de la misma manera
que el proceso RADIUS.
RADIUS VS TACAS

RADIUS TACACS
• Estándar Abierto • Propiedad de Cisco
• Encripta solo Passwords • Encripta el Payload por cada Paquete
• Utiliza UDP • Utiliza TCP Puerto 449
• Puerto 182 para autenticación, • Control Granular para Autorización
anteriormente Puerto 1645 • Cada Comando que se ejecuta puede ser
• Puerto 1812 para registro, anteriormente revisado contra la AAA para autorización
Puerto 1646 • Tipicamente utilizado para garantizar
• Control menos granular para Autorización acceso a los administradores a equipos
• La autorización esta en conjunto con el como routers dentro de la red.
proceso de auntenticación.
• La autorización continua, tales como
commando por commando no se logra con
RADIUS
• Comumente se utiliza para garantizar
acceso a l red a un usuario final Ej.: VPN
Gracias !!!!