Autorización y Acceso en Sistemas Informáticos

Habitualmente, los sistemas lanzan los procesos con los permisos del usuario que los inicia. Esto es la fuente de muchos problemas, ya que muchos de esos servicios son lanzados con el usuario root, lo que conlleva que estos procesos tengan acceso a todo el sistema.

Para evitar ese problema, muchas veces se ejecutan los servicios en entornos aislados (como contenedores, Docker y chroot).

Otra solución son los Controles de Acceso Obligatorios (MAC), que consisten en un nivel de autorización que fija el sistema para determinados objetos, en lugar de hacerlo el administrador. De este modo, el nivel de acceso está limitado por el perfil de seguridad y no solo por los permisos bajo los que está funcionando el servicio.

El nivel de acceso de un sistema lo gestiona, en primer lugar, el control de acceso obligatorio. Una vez pasado el control obligatorio, los accesos son restringidos por los niveles de Acceso Discrecional (DAC) que fije el administrador.

Control de Acceso Obligatorio (MAC)

Los Controles de Acceso Obligatorios (MAC) son un mecanismo de seguridad donde el sistema operativo restringe las capacidades de un sujeto (como un proceso o usuario) para acceder o realizar operaciones en un objeto (como un archivo o dispositivo), basándose en etiquetas de seguridad predefinidas por el sistema, no por el usuario.

Windows Integrity Levels (WILS)

En los sistemas Windows, los objetos están etiquetados con un nivel de integridad que puede ser uno de los siguientes:

• Untrusted: Procesos que no están asociados a ningún usuario en concreto (ej. Google Chrome en modo sandbox).
• Low: Es el utilizado por defecto por los procesos que se conectan a internet (ej. Microsoft Edge).
• Medium: Es el nivel de funcionamiento habitual y asignado por defecto por el sistema.
• High: Es el nivel de integridad del Administrador del sistema.
• System: Es el nivel reservado para el sistema (kernel).
• Installer: Es el nivel más alto de todos. Los procesos con este nivel son capaces de acceder a cualquier parte.

Un objeto solo puede acceder a otros objetos con un nivel de integridad igual o inferior al nivel que posee.

Los procesos deben funcionar en el nivel de integridad más bajo posible para minimizar riesgos.

SELinux

SELinux (Security-Enhanced Linux) es un sistema de control de acceso obligatorio empleado en las instalaciones por defecto de algunas distribuciones de Linux.

Está orientado a la protección de todos los objetos del sistema (ficheros, comunicación de red, etc.).

Cada objeto del sistema tiene asignada una etiqueta que utilizará la política de seguridad para determinar su nivel de acceso. Esta etiqueta contiene diversa información como la identidad del propietario, el usuario, el rol, el tipo de nivel, etc., y se almacena en los inodos del sistema de archivos. Estas etiquetas (contextos de seguridad) tienen la estructura usuario_u:rol_r:tipo_t:nivel, por ejemplo: system_u:object_r:home_user_t:s0.

El sistema SELinux puede estar en 3 estados:

• Enforcing: Se rechazan los accesos no autorizados siguiendo las políticas de seguridad.
• Permissive: Se permiten todos los accesos, pero se registran alertas.
• Disabled: SELinux está desactivado.

AppArmor

SELinux es muy potente y configurable, pero su versatilidad y posibilidad de gestión de los permisos resulta en una gestión compleja. Por ello, se desarrolló AppArmor con la idea de simplificar su administración y uso.

Para cada aplicación del sistema se aplican las restricciones indicadas en el perfil de la tarea. El control de acceso se basa en las rutas a los directorios, archivos, etc. Las aplicaciones que no tienen perfil se ejecutan sin restricciones.

Control de Acceso Discrecional (DAC)

Una vez que se cumplen los requisitos establecidos por el MAC (si existe), deben satisfacerse los requisitos establecidos por el control discrecional.

El control discrecional lo configura el administrador, estableciendo qué usuarios pueden acceder a qué objetos.

En Windows se utiliza el sistema de archivos NTFS, y la base de su control discrecional son las ACL (Access Control Lists). Estas listas de control, asociadas a los objetos, indican los permisos de cada usuario o grupo sobre cada objeto del sistema.

En Linux se emplea habitualmente un sistema de permisos discrecionales muy simple en el que se especifican los permisos de lectura (r), escritura (w) y ejecución (x) para el propietario y grupo.

• umask: Establece los permisos por defecto de los nuevos ficheros y directorios que crea el usuario.
• sticky bit: Cuando se utiliza sobre un archivo, indica que su uso es muy frecuente, por lo que es buena idea tenerlo cacheado en la memoria RAM. Cuando se utiliza sobre directorios, indica que los archivos que contiene solo pueden ser borrados por el usuario root, por el propietario del directorio o por el propietario del archivo.
• sudo: Se utiliza para autorizar a usuarios concretos de forma que puedan utilizar una serie de comandos con solo conocer su contraseña.

Protección contra Malware y Controles de Integridad

Por malware se conoce a un conjunto de software diseñado con la intención de vulnerar la seguridad de sistemas informáticos, atentando contra la privacidad, integridad y disponibilidad de la información.

Controles contra el Malware

• Adware: Su objetivo es monetizar programas normalmente gratuitos mediante la inclusión de publicidad no deseada. Diversos navegadores incluyen extensiones de bloqueo de publicidad como AdBlock.
• Spyware: Son aplicaciones que recopilan información de nuestro sistema y la remiten a servidores remotos. La mayor parte del spyware recopila información como la geolocalización, historial de navegación, etc., para utilizarla después en publicidad, pero también se puede utilizar para recopilar contraseñas o números de tarjetas de crédito.
• Virus: Son programas que se propagan de manera automática una vez se lanza su ejecución.
• Worms (Gusanos): Son similares a los virus, pero aprovechan fallos de los sistemas para propagarse de forma automática, sin necesidad de intervención de los usuarios.
• Troyanos: Son programas que sustituyen herramientas legítimas en un sistema con el objetivo de garantizar a un atacante el acceso de administrador al sistema.
• Ransomware: Una vez que infecta nuestro ordenador, cifra los archivos del sistema de forma que resulta imposible acceder a ellos. Normalmente se acompaña de un mensaje de rescate.

Detectores de Malware (Antivirus)

Para prevenir el acceso de malware a nuestro sistema, conviene seguir algunas reglas básicas:

• Estar atentos a los ataques de ingeniería social.
• Evitar el phishing, especialmente en la web mediante el uso de HTTPS.
• Si utilizamos remotamente una red corporativa atravesando redes públicas, utilizar conexiones seguras (VPN).
• Tener configurado correctamente el firewall del sistema.
• Uso de contraseñas seguras de forma que no las anotemos en ninguna parte.
• Uso de programas antimalware en busca de posibles troyanos y virus.

Los sistemas Windows hoy en día disponen de un sistema antivirus muy complejo y potente que hace innecesaria la instalación de antivirus de terceros (Windows Defender).

Linux es un sistema mucho menos atacado que Windows. El antivirus de código abierto más utilizado es ClamAV.

Otros sistemas de detección y prevención de malware son los filtros de spam para correo electrónico (SpamAssassin), los bloqueadores de publicidad como AdBlock o los sistemas de prevención de ataques de fuerza bruta como Fail2Ban.

Controles de Integridad del Sistema

Una de las actividades de los ataques mediante troyanos es la instalación de puertas traseras y la instalación de rootkits. Esto se hace a menudo sustituyendo archivos del sistema por versiones modificadas.

Windows dispone de SFC (System File Checker), que realiza una comprobación de ciertos archivos del sistema y los restaura en caso de detección de corrupción. Se recomienda su uso combinado con DISM (Deployment Image Servicing and Management).

En Linux es común el uso de rkhunter o chkrootkit para buscar ficheros modificados y posibles puertas traseras.

Tripwire es un completo sistema de detección que crea hashes de los ficheros configurados y alerta de su modificación.

Sistemas de Detección de Intrusos (IDS/IDPS)

Un Sistema de Detección de Intrusos (IDS) es un programa que detecta intentos de acceso no autorizados a un ordenador o red de ordenadores. Las versiones avanzadas, además de detectar, toman medidas automáticas para impedir el intento de acceso y se denominan IDPS (Intrusion Detection and Prevention Systems).

Para detectar actividad anómala, los IDS recurren a sistemas como sniffers de red y bases de datos con firmas del comportamiento de los ataques más conocidos.

Mantenimiento de la Confidencialidad: Cifrado de Datos

Cifrado a Nivel de Archivo

Mediante este tipo de cifrado, se cifra únicamente el contenido de los archivos almacenados en el disco. El cifrado se realiza transparentemente, de forma que cuando se escribe en el fichero se cifran los datos y cuando se leen se descifran.

Windows EFS

EFS (Encrypting File System) es una característica de cifrado incluida en todas las versiones de Windows, excepto en las ediciones Home. El cifrado se puede activar en ficheros, directorios o por unidad.

eCryptfs

eCryptfs permite cifrar el contenido de directorios de forma similar a EFS utilizando una contraseña. Los metadatos del cifrado se almacenan en la cabecera de los ficheros. Cuando ciframos un directorio, se crean dos capas superpuestas (lower, donde se almacena la información cifrada, y upper, sobre la que opera el usuario).

encFS

encFS es similar a eCryptfs. Resulta más simple a la hora de utilizarlo. Actualmente tiene algunos problemas potenciales de seguridad. Es compatible con Windows.

Cifrado a Nivel de Dispositivo

El cifrado a nivel de dispositivo cifra un dispositivo de bloques completo, incluyendo la tabla de particiones, sistema de archivos, etc.

Existen sistemas de cifrado que almacenan una cabecera sin cifrar que puede servir para identificar que el disco contiene un sistema cifrado.

BitLocker

BitLocker es un sistema de cifrado incluido en Windows. Está disponible en las versiones Pro, Enterprise y Education de Windows 10 y en las versiones Server 2008 y posteriores.

dm-crypt y LUKS

• dm-crypt es un subsistema de cifrado de discos que utiliza la API de cifrado del kernel de Linux. Puede cifrar discos completos, volúmenes RAID, volúmenes lógicos, etc.
• LUKS (Linux Unified Key Setup) especifica un formato estándar e independiente de la plataforma, facilitando la compatibilidad y la interoperabilidad.
• cryptsetup es una herramienta que facilita el uso de dm-crypt.

Autenticación en Redes y Sistemas

Kerberos

Kerberos es un protocolo de autenticación que proporciona autenticación para servicios de red de forma segura en redes no seguras.

Las credenciales se obtienen a través de un ticket que se puede utilizar varias veces para facilitar la identidad a los servicios de red. Además, Kerberos proporciona autenticación mutua (asegurando la identidad tanto del cliente como del servidor).

El servidor Kerberos tiene una base de datos que relaciona objetos que necesitan autenticación (principales) con una contraseña (normalmente usuarios, equipos y servicios). Esta base de datos es muy limitada; por lo tanto, si se necesita almacenar más información del principal, se requiere una base de datos externa (normalmente LDAP).

El funcionamiento cuando un cliente desea acceder a un servicio de la red que utiliza autenticación Kerberos es el siguiente:

• Obtener un ticket del servidor Kerberos
  • Envía las credenciales (principal y contraseña).
  • El servidor comprueba las credenciales en su base de datos y crea un ticket (con marca de tiempo de creación y su período de validez) y se lo envía.
• El cliente solicita un ticket de servicio para el servicio de red del servidor
  • Envía su ticket con la información del servicio al que quiere acceder.
  • El servidor genera un ticket de servicio y se lo envía.
• El cliente conecta con el servidor y solicita el servicio
  • Envía el ticket de servicio con la información adicional de la solicitud. Si el servidor no es legítimo, no podrá procesar el ticket.
  • El servidor comprueba el ticket de servicio y acepta o deniega la solicitud.

RADIUS

RADIUS (Remote Authentication Dial-In User Service) es un protocolo de autenticación y autorización para aplicaciones de acceso a la red o movilidad IP.

Este protocolo proporciona autenticación, autorización y registro de acceso para usuarios que se conectan y utilizan un servicio de la red.

Habitualmente, los gateways o switches tienen un cliente RADIUS que comunica con un servidor RADIUS que realiza la autenticación.

Para realizar la autenticación, el usuario envía una petición al servidor de acceso a la red solicitando el acceso al recurso de red, enviando credenciales de acceso mediante PPP o HTTPS.

El servidor de acceso enviará una petición de acceso mediante el protocolo RADIUS al servidor RADIUS, solicitando autorización para garantizar el acceso a la red al cliente.

El servidor RADIUS comprobará si la información es correcta utilizando esquemas de autenticación como PAP, CHAP o EAP para verificar las credenciales. El servidor RADIUS dará las siguientes respuestas:

• Access Reject: Acceso denegado. No se permite el acceso al usuario a los recursos solicitados (usuario deshabilitado o credenciales erróneas).
• Access Challenge: Se espera información adicional del usuario (otra contraseña, PIN, etc.).
• Access Accept: El usuario puede acceder a los recursos. Una vez autenticado, el servidor verificará el nivel de autorización.