Aexzfve 3NLR Va Ir Dkhppbkqv Kb P 8BAG-lectura-20-fundamental-206 PDF

Preview

Summary

seguridad informacion...

Description

Tecnologías, estándares y prácticas en gestión de identidad.

Contenido 1

Tecnologías en gestión de identidad

2

Estándares y prácticas para la implementación de gestión de identidad

3

Legislación relacionada

Palabras clave: Directorio, acceso web, servicio de direc

1. Tecnologías en gestión de identidad Como parte del escenario dos mencionamos que algunos factores que representan ventajas frente a la implementación de gestión de identidad se asocia a:

•

Reducir costos asociados a la administración de usuarios

•

Mejorar la seguridad frente a la información

•

Optimizar la carga administrativa frente al soporte a usuario

•

De acuerdo con el tipo de organización, cumplir con regulación que le aplique ya sea externa (ejemplo el cumplimiento en el sector financiero) e interna (políticas).

En igual medida, así como debemos considerar las ventajas que pueden representar para la organización la implementación de gestión de identidad, debemos considerar la cultura y requerimientos de operación de la organización de tal forma que las tecnologías utilizadas vayan en línea con la razón de ser del negocio. Aspectos tales como la resistencia al cambio frente a aspectos en seguridad de contraseñas, si se trata de una organización independiente o es parte de un conglomerado, si ofrece un único o varios servicios, si su negocio se centra en servicios o productos físicos o digitales (ej. Comercio electrónico); entre otros aspectos. Partiendo de estas consideraciones vamos a ver las siguientes tecnologías:

•

Directorios

•

Gestión de acceso web

•

Gestión de contraseñas

•

Federación de identidades

La utilidad en la implementación de soluciones tecnológicas como las mencionadas se encuentra en facilitar los procesos de gestión de identidades abarcando los procesos de identificación, autenticación, autorización y auditoría.

1.1. Directorios Los directorios son un tipo específico de bases de datos en los cuales se almacena información pertinente a un objeto (este puede ser un individuo, recurso de red o un documento) de una

POLITÉCNICO GRANCOLOMBIANO

2

organización. Dado que los directorios son repositorios de datos es necesario contar con mecanismos que permitan acceder y gestionar esos datos. Aquí surge el concepto de servicio de directorio como medio que permite gestionar esos datos, en este caso hablamos de los datos que constituyen las identidades. El servicio de directorio a partir de un nombre o identificador permite la búsqueda de valores requeridos utilizando las relaciones entre los objetos del directorio y concede el acceso a los recursos solicitados de acuerdo con los permisos previamente concedidos a un usuario. Un directorio al ser considerado una base de datos se diferencia de una base de datos relacional en:

•

El servicio de directorio realiza más acciones de lectura que de escritura.

•

Los datos suelen ser redundantes porque se procura que las búsquedas sean eficientes.

•

Los directorios no manejan relaciones múltiples (cardinalidad en bases de datos), se manejan listas de nombres o identificadores.

•

Los directorios se utilizan para objetos identificados (usuarios, agendas, listas, productos, servicios, perfiles, entre otros) para los cuales se da muchos usos, mientras las bases de datos relacionales permiten automatizar un modelo relacional de datos dedicado.

Hay varios tipos de directorios de acuerdo con el tipo de implementación o propósito:

•

Libretas de direcciones, ejemplo, las manejadas en correo electrónico. Si las libretas son manejadas como aplicaciones independientes sería necesario establecer un estándar para el intercambio de información (como LDIF - LDAP data interchange format) para que otras aplicaciones pudieran hacer uso de las libretas.

•

Directorios de sistema operativo de red, donde se almacenan datos de los recursos de la red. Ejemplos de este tipo de directorios son el Directorio activo de Microsoft.

•

Otro ejemplo de directorio es el servicio de nombres de dominio (DNS - Domain name service) usado a nivel de internet que resuelve a partir de un nombre cual es la dirección IP asociada.

A través del uso de los directorios se pueden configurar políticas de seguridad y control de acceso que permitan determinar qué recursos puede o no acceder un usuario en un sistema. El estándar para la implementación de directorios es X.500 (DAP - Directory Access Protocol) que posteriormente fue la base del estándar LDAP (Lightweight Directory Access Protocol - Protocolo ligero de acceso a directorio). LDAP (diseñado en la Universidad de Michigan se generó como una versión "ligera" del estándar X.500 dado su complejidad. Inicialmente LDAP actuaba como conector o pasarela entre los usuarios y los servicios X.500 posteriormente se trabajó para convertirlo en el estándar para el manejo del

POLITÉCNICO GRANCOLOMBIANO

3

servicio de directorio. La estructura básica de un directorio LDAP es la siguiente: 1. Se parte de una raíz que representa a la organización y a la cual se asigna un Distinguished name (DN), de este se desprenden grupos de objetos formando una jerarquía, esto corresponde al espacio de nombres que es utilizado. 2. Cada objeto ingresado es una entrada de directorio a la cual se asigna un DN. A su vez, las entradas se componen de una serie de atributos descriptivos; de acuerdo con los atributos que se manejen se define el esquema de directorio. 3. Algunos de los atributos descriptivos más usados son:

•

dc - > domain component

•

ou -> organizational unit

•

cn -> common name

•

uid -> identificador de usuario

dc= net

dc= com

dc= es

ou= Unidad Organizacional dc= empresa iud= Usuarios

ou= usuarios

uid= LuisaM

uid= MaríaS

ou= servidores

uid= CarlosR

dc= Empresas

dc= Dominio superior

Figura 1. Ejemplo directorio LDAP Fuente: Elaboración propia (2018)

POLITÉCNICO GRANCOLOMBIANO

4

¿Sabía qué...? Existe una implementación de código abierto de LDAP desarrollada por el proyecto OpenLDAP, que lleva este mismo nombre. A través del estudio y uso de esta implementación puede adquirirse mayor profundidad sobre el protocolo.

1.2. Gestión de acceso web La gestión de acceso web permite sean definidos los controles para que los usuarios interactúen con una plataforma basada en web a través del buscador. Este tipo de gestión ha tomado fuerza a partir de la difusión del comercio electrónico y las transacciones en línea. En estos sistemas el usuario envía las credenciales a un servidor web, el cual hace la validación de estas frente a las políticas de seguridad con las que cuenta el directorio y de acuerdo con esto, concede o niega el acceso a la aplicación y los recursos que están siendo solicitados. A través de las herramientas de gestión de acceso web usualmente se provee un Single Sign-On a los usuarios para acceder a diferentes recursos que se encuentran dentro del mismo ambiente web; ejemplos de esto lo tenemos en los servicios de Google. Una forma en la que se mantiene la autenticación a través de un servidor web es mediante el uso de cookies. A través de estas, el buscador web puede validar si un usuario tiene derechos de acceder a un recurso mientras se mantenga la sesión de usuario. Como parte de la información que puede transmitirse en la cookie está el número de cuenta, el password, los hábitos de búsqueda e información personal. Es por esto por lo que la protección de las cookies es de importancia para nosotros como especialistas de seguridad. El acceso a aplicaciones a través de la web está expuesto a ataques de seguridad asociados a robo de las cookies por XSS o intercepción de comunicaciones.

POLITÉCNICO GRANCOLOMBIANO

5

¿Sabía qué...? Si quieres acceder a la información de las cookies para validar que contienen: 1. Da clic sobre la vista de información del buscador (en la parte donde aparece la URL del sitio al lado izquierdo donde está la información del certificado digital o aparece un símbolo de información) Secure

Ver información del sitio

2. Aparece una sección que dice cookies y al dar clic sobre esta despliega el listado de cookies en uso para las sesiones web que se tienen abiertas. Cada sitio cuenta con determinadas cookies habilitadas. De cada una puede verse el nombre, contenido, dominio, ruta, por quien es enviada, cuando fue creada y cuando expira. 3. La fecha de expiración es uno de los temas importantes a considerar porque si se trata de una cookie que cuente con información de autenticación el lapso que esté vigente puede determinar el tiempo de exposición de las credenciales de acceso. Si se trata de un sitio web que no cuente con comunicación segura es posible que un tercero no autorizado logre acceder a las cookies y con ello pueda replicar el acceso y suplantar a un usuario legítimo.

1.3. Gestión de contraseñas La gestión de contraseñas adquiere relevancia ante la gran cantidad de contraseñas/passphrase manejada por los usuarios y sus requerimientos de cambio. Ante estos eventos los administradores deben realizar el cambio directamente desde la consola de gestión de cada plataforma, y pueden encontrarse N plataformas y aplicaciones en una organización. Ante esto existen varias tecnologías para gestionar las contraseñas de tal forma que se puede facilitar el manejo para los usuarios, la labor de administración y soporte y los aspectos de seguridad.

POLITÉCNICO GRANCOLOMBIANO

6

Entre estos están:

•

Sincronización de passwords: En el primer caso, a través de la sincronización un usuario puede mantener un password para múltiples sistemas o aplicaciones. Cuando el usuario cambia su password este cambio es tomado en todos los sistemas o aplicaciones que hacen parte del grupo de sincronización, de tal forma que es el mismo en todos los sistemas. El usuario tiene que realizar el proceso de autenticación en cada uno, sin embargo, el password utilizado es el mismo en todos los sistemas. Esta opción representa un problema grande de seguridad, dado que es un único punto de falla que puede ser atacado por un usuario no autorizado para ganar acceso a los recursos del usuario legítimo.

•

Autoservicio para cambio de password: Se trata de opciones manejadas por ejemplo en aplicaciones y sistemas operativos, donde el usuario a través de una opción de configuración tiene el privilegio y los permisos para realizar el cambio de su propio password, como medidas de seguridad en este caso se suelen usar preguntas de seguridad, manejo de mecanismos de autenticación adicionales como tokens o smart cards, como medida para validar la identidad del usuario.

•

Cambio de password asistido: La última tecnología presentada sobre el cambio de password asistido, comprende funcionalidades que le permiten al equipo de soporte o help desk, validar la identidad del usuario antes de cambiar el password. El proceso usualmente se realiza a través del uso de preguntas de seguridad por una herramienta de gestión de passwords antes de realizar el cambio. Una vez realizada la autenticación y el cambio de password, el sistema o aplicativo exige al usuario que realice el cambio de nuevo para asegurar que sólo el conocerá el nuevo.

1.4. Federación de identidades Para comprender la definición de federación de identidades, es necesario conocer primero algunos conceptos adicionales a los mencionados en la unidad uno: sujeto y objeto.

•

Tabla de capacidades: son las capacidades de acceso de un sujeto sobre un objeto. Es decir, los permisos o privilegios.

•

Dominio de identidad o seguridad: es el conjunto de sujetos, objetos y mecanismos para la identificación y gestión de acceso.

•

Proveedor de servicio: es un sistema que provee los objetos a los cuales se puede acceder.

•

Proveedor de identidad: es un sistema que provee los mecanismos para identificación y control de acceso.

•

Proveedor de políticas: es el sistema encargado de las políticas de seguridad.

POLITÉCNICO GRANCOLOMBIANO

7

A partir de esto podemos definir la federación de identidades como los mecanismos para permitir a una identidad que pertenece a un dominio de identidad manejar los objetos ofrecidos por un proveedor de servicio que esté asociado al dominio de identidad siguiendo las políticas de seguridad (del proveedor de políticas).

Dado que el usuario ya se autenticó para un servicio de la empresa A, puede acceder al servicio de la empresa B por la relación federada.

Proveedor de servicio empresa B

indentidad

de acceso

ica ció n

Proveedor de políticas 4. Credenciales válidas

tr con a lid Va . 3

1. Solicita acceso a un servicio Sujeto (Identidad)

3. Valida contra políticas

2. Au te nt

6. S olic it

a ac ces oa 7. C un s onc ervi ede cio acc eso

Proveedor de

5. Concede acceso al servicio

a

eso c c a de s a lític po

Proveedor de servicio empresa A Relación federada

Figura2. Ejemplo federación de identidades Fuente: Elaboración propia (2018)

En el esquema presentado el sujeto se identifica con el proveedor de identidad para tener acceso a un recurso provisto por el proveedor de servicio. El proveedor de identidad valida las credenciales del

POLITÉCNICO GRANCOLOMBIANO

8

sujeto con el proveedor de políticas, a su vez valida el acceso al recurso con el proveedor de servicio, el cual valida las políticas de acceso (tabla de capacidades) del sujeto sobre el recurso para conceder o denegar el acceso. En la federación de identidades se reúne la identidad de un sujeto que exista en varios dominios de identidad y que funcionan bajo relaciones de confianza. No aplica hablar de federación de identidades si solo existe un dominio dado que esto sería control de acceso delegado. El problema inicial frente a la federación de identidades es asegurar las relaciones de confianza entre los dominios conservando las características de seguridad, segundo, realizar la comunicación entre los dominios considerando que el diseño de cada sistema puede ser diferente, así como el uso de estructuras y lenguajes. Existen varios patrones de federación:

•

Federación ad-hoc: donde se establece la relación entre pares de dominio.

•

Federación hub-and-spoke: en este caso hay una organización dominante que dicta los estándares, las políticas de confiabilidad dentro de un conjunto de organizaciones miembro.

•

Red de federación de identidades: En este tipo se cuenta con una organización independiente para la federación de identidades entre las organizaciones miembro.

La federación de identidades puede relacionarse con el esquema de Single Sign-On en términos que podemos contar con varios dominios de identidad dentro de un gran dominio de Single Sign-On en el cual el usuario se autentica frente a un dominio y esto les da acceso a otros dominios. Ejemplos de implementación de federación de identidades son principalmente vistos en entornos académicos y de salud. Algunos ejemplos son:

•

Federación de identidades en la Universidad de la Colima - México. Acceso a varias aplicaciones federadas a través de Single Sign-On.

•

REFEDS - Research and Education Federations.

•

Servicio RENATA. Redes para investigación entre América Latina y Europa.

•

Sistema de federación de identidades en el servicio de salud de las Islas Baleares: Servei de Salut de les Illes Balears.

1.5. Soluciones de mercado Para la implementación de gestión de identidades, existen varias soluciones definidas por diferentes empresas de consultoría y fabricantes. Como parte de las referencias pueden encontrar referencias a varios de ellos.

POLITÉCNICO GRANCOLOMBIANO

9

2. Estándares y prácticas para la implementación de gestión de identidad En este punto vamos a mencionar algunos estándares que tratan sobre la gestión de identidad y elementos asociados como la privacidad. Marco de trabajo generado por ISO, la familia de estándares ISO/IEC 24760.

•

ISO/IEC 24760-1:2011 A framework for identity management—Part 1: Terminology and concepts: Este estándar ISO define los términos y principales conceptos para la gestión de identidad. Fue publicado en diciembre de 2011.

•

ISO/IEC CD 24760-2 A Framework for Identity Management—Part 2: Reference architecture and requirements: La segunda parte de este estándar que trata sobre arquitectura y requisitos de referencia. Fue publicado en junio de 2015.

•

ISO/IEC 24760-3 A Framework for Identity Management—Part 3: Practice: Refiere las prácticas. Fue publicado en agosto de 2016.

Marco de trabajo para la privacidad, con la serie ISO/IEC 29100.

•

ISO/IEC 29100:2011 Privacy framework: Este estándar especifica terminología, los actores y los roles en el procesamiento de información personal, las consideraciones de seguridad y los principios a nivel de tecnología de la información a considerar para la gestión de la privacidad. Fue publicado en noviembre de 2011.

•

ISO/IEC 29101 Privacy Architecture: Este estándar publicado en octubre de 2013, define el marco de trabajo para la arquitectura de seguridad, considerando el uso de las tecnologías de la información, los componentes que deben ser considerados en el sistema y las vistas de arquitectura para interrelacionar estos componentes.

•

ISO/IEC 29134 Privacy Impact Assessment Methodology: Este estándar presenta una metodología para la evaluación de impacto en la privacidad. Fue publicado en junio de 2017.

Estándares para gestión de acceso y pruebas y verificación de identidad.

•

ISO/IEC 29115 Entity Authentication Assurance: Desarrollado en marzo de 2013, que provee un marco de trabajo para gestionar la seguridad en la autenticación.

•

ISO/IEC 29146 A framework for access management: Presenta un marco para la gestión de acceso. Fue publicado en junio de 2016.

•

ISO/IEC PRF TS 29003 Identity Proofing and Verification: Presenta los conceptos concernientes a pruebas de identidad. En desarrollo.

POLITÉCNICO GRANCOLOMBIANO

10

El National Institute of Standards and Technology – NIST considera un programa de sistemas de gestión de identidad donde enmarca los siguientes programas o proyectos:

•

Face & Iris Testing.

•

Fingerprint Technology Testing for Identity Management.

•

Identity Credential Interoperability.

•

IDMS Research & Development.

•

IDMS Standards Activities.

•

Multimodal Biometrics.

•

Research for Next Generation Biometric Measurements & Standards (NGBMS) for Identity Management.

•

Usability of Biometric Systems.

De ...