March 17, 2016

Autorización

El video anterior se hablaba de los métodos para descubrir con quién se estaba comunicando, ahora bien, el objetivo primordial de la autorización es determinar que las actividades que cierta entidad reconocida son legítimas, en otras palabras, que las acciones a ejecutar en un sistema son validas para los permisos que se tengan como usuario del sistema.

Un ejemplo sencillo como el siguiente: se tiene a un usuario autentificado en el sistema (Ana), una vez se tiene una sesión válida, ella quiere ejecutar un archivo en una sección solo “autorizada” para administradores, entonces el Sistema Operativo lleva a cabo una verificación por medio de la “Lista de Control de Acceso”, en la cual se comparan los permisos de Ana para comprobar si forma parte del grupo “administradores” y así permitirle ejecutar dicho programa.

Listas de Control de Acceso

A continuación se tiene un ejemplo básico de una lista donde las columnas determinan las categorías que impactan en el sistema; las hileras permiten identificar a los usuarios con los permisos asociados a su sesión.

Usuario | Recurso            | Rol                 | Privilegio
Maria     | /home/maria/*   | usuario           | Lectura, escritura, ejecución
Juan       | /home/juan/* /* | administrador | Lectura, escritura, ejecución

Como podemos identificar, María puede leer, escribir o ejecutar únicamente en directorios derivados de su directorio de acceso; por otro lado, Juan puede hacer lo mismo tanto con su folder de inicio como en la raíz del sistema, lo cual también es derivado del rol asignado, como se muestra, un usuario normal o un administrador.

Modelos de Control de Acceso

  • Obligatorio: el sistema operativo determina exactamente quién tiene acceso a cuáles recursos.
  • Discrecional: Como en Sistemas UNIX, los usuarios autorizados determinan que otros usuarios acceden a los archivos o recursos que pueden crear, usar y mantener.
  • Basado en Roles: Al contrario del discrecional, aquí se generan roles, a los cuales los usuarios se adhieren para determinar los privilegios de acceso.
Derivado de esta clasificación, se tiene uno en particular llamado el Modelo Bell-LaPadula; muy popular su uso en entornos militares, es no discrecional y permite clasificar los recursos a proteger en: Ultra Secreto, Secreto, Confidencial o desclasificado, los cuales son asignados tanto a usuarios como objetos dentro del sistema y se siguen 3 reglas básicas:
  • Propiedad simple: Un usuario no puede acceder a los recursos con clasificaciones mayores a las asignadas a su rol. También se le conoce como “sin lectura superior”.
  • Propiedad estrella (de confinamiento): Recursos creados en cierta clasificación solo pueden ser leídos por usuarios con acceso del mismo tipo o mayor, o también “regla de no escritura inferior”.
  • Propiedad de tranquilidad: No se le permite a ningún objeto cambiar su nivel de clasificación a menos que no haya algún otro lector o escritor de tal documento en el sistema.
Este modelo permite reducir fugas de información cuando lo usuarios respetas reglas del sistema.

Posted by Mittra Software at 9:52 PM
Labels: , ,

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)