SlideShare ist ein Scribd-Unternehmen logo

Control de acceso al SO

Als DOCX, PDF herunterladen
E
enviacho
Bildung
1 von 26
UNIVERSIDAD AUTONOMA GABRIEL RENE MORENO FACULTAD INTEGRAL DEL CHACO UNIDAD DE POSTGRADO POLITICAS PROCEDIMIENTOS PARA EL CONTROL DE ACCESO AL S. O. ELABORADO POR: Galindo F. Urzagaste H. Joel A. Padilla R. Yohana Y. Salces Mariselva Pantoja | Luis C. Barbeyto
ÍNDICE DE CONTENIDOS 1. RESUMEN EJECUTIVO: ________________________________________________ 4 2. INTRODUCCION _____________________________________________________ 4 3. OBJETIVO: __________________________________________________________ 5 4. ALCANCE ___________________________________________________________ 5 5. Caso de estudio _____________________________________________________ 5 6. POLÍTICAS DE SEGURIDAD: ____________________________________________ 7 4.1. Privilegios de Usuarios ____________________________________________________ 7 4.2. Autenticación ___________________________________________________________ 8 4.3. Software _______________________________________________________________ 8 4.4. Tiempo Inactividad en las Terminales ________________________________________ 9 4.5. Autorización ___________________________________________________________ 10 5. PROCEDIMIENTOS: __________________________________________________ 11 5.1. Control de acceso al sistema operativo. _____________________________________ 11 5.2. Procedimientos de conexión de terminales. ____________________________________ 11 5.3. Identificación y autenticación de usuario. ____________________________________ 12 5.4. Sistema de gestión de contraseñas. ___________________________________________ 12 5.5. Uso de los servicios del sistema. _____________________________________________ 13 5.6. Desconexión automática de terminales. _______________________________________ 13 5.7. Limitación del tiempo de conexión. ___________________________________________ 13 6. Anexos: ___________________________________________________________ 14 6.1. PROCEDIMIENTOS PARA EL CONTROL DE ACCESO A USUARIOS __________________ 14 6.2. Procedimiento para identificación y autentificación de los usuarios _______________ 15 6.3. Procedimiento para sistema de gestión de contraseñas _________________________ 16 6.4. Procedimiento para privilegios de usuarios ___________________________________ 17 6.5. Procedimiento para inactividad de terminales ________________________________ 17 6.6. Procedimiento para limitar el tiempo de conexión _____________________________ 17 7. Instructivos ________________________________________________________ 18
7.1. Instalación del Software WEBMIN para LINUX CENTOS en la versión 6.4 final. ___________ 18 7.2. CONFIGURANDO EL DOMINIO _________________________________________________ 22 1. Instalación Samba 4,en una Terminal Centos ejecutamos lo Siguiente _________________ 22 2. Creando el Samba Provider, en una terminal ejecutamos: ___________________________ 22 3. Iniciamos el SAMBA 4 AD DC __________________________________________________ 23 4. Prueba de Samba como un DC Active Directory, Ejecutamos en una terminal: ___________ 23 5. Configurando el DNS _________________________________________________________ 23 6. Instalando y configurando Kerberos _____________________________________________ 24 7.3. Configurar el cliente Windows al Dominio ________________________________________ 24 8. REFERENCIAS BIBLIOGRAFICAS: _______________________________________ 26
CONTROL DE ACCESOS AL SISTEMA OPERATIVO 1. RESUMEN EJECUTIVO: El presente proyecto se estable las bases para mejorar el control de acceso de los usuarios al sistema operativo para una PYME en nuestro caso de estudio para los sistemas operativos LINUX CENTOS y WINDOWS XP, el mismo que será aplicado mediante el uso de políticas institucionales para el manejo de los recursos de las terminales. Por ello en el presente documento se presentan las políticas aplicadas al control de acceso al sistema operativo como así también los procedimientos que se tienen que realizar para un mejor manejo de los recursos de la PYME. Estos procedimientos permitirán al administrador de sistemas configurar adecuadamente los grupos y privilegios de cada uno de los usuarios que acceden al servidor. También se incluye un manual de instalación de software utilizados, que servirán de guía para que la empresa ponga en funcionamiento esta solución posible y de esta manera mejorar sus funcionalidades. Debido al caso de estudio realizado de la PYME comercial, todo el presente documento se centra la utilización de software libre que permitirá reducir el gasto de presupuesto destinado a las TI de la misma empresa. Por otro lado la información será centralizada en un servidor de datos basado en LINUX CENTOS, para el proyecto se utilizó la versión 6.4 Para dar una posible solución al caso de estudio se instalóy configuro un controlador de dominio basado en un servidor samba en Linux Centos para realizar la conexión de ambos sistemas operativos y administrar los usuarios registrados en el dominio. Por otro lado se utilizó el software WEBMIN para establecer los roles de los usuarios como así también la forma de cómo se conectara a la terminal y el tiempo de actividad de cada una de ellas. 2. INTRODUCCION El manejo de la información en toda organización, institución o empresa, es de vital importancia, y en estos últimos tiempos el uso de la tecnología crece de una forma abismal, es por eso que el uso eficiente de recursos tecnológicos nos permitan tener un resguardo adecuado de la información en todos los sentidos, debido a que existen diversos factores que interfieren en la obtención de información no autorizada por parte de terceros. Este documento contiene las políticas, procedimientos informáticos institucionales, que son aplicables a todas las Direcciones de la empresa del caso de estudio y en general a la estructura organizativa de la Consultora. Por otro lado se muestra las posibles mejoras que se puedan realizar en la empresa con el objetivo de mejorar la calidad de servicio que se
brinda y el acceso a la información sea más eficiente y confiable posible, manteniendo en todo momento las tecnologías de seguridad de la información. La finalidad de este documento es que junto a otro material relacionado, sirva como un instrumento de consulta permanente y como guía especializada, para las áreas usuarias e interesadas dentro de la Empresa. 3. OBJETIVO: Evitar el acceso no autorizado a los sistemas operativos mediante la implementación de seguridad en los accesos de usuarios por medio de técnicas de autenticación y autorización clientes. 4. ALCANCE La Política definida en este documento se aplica a todas las formas de acceso de aquellos usuarios a quienes se les haya otorgado permisos sobre el Sistema Operativo. Nos permitirá: Establecer Privilegios a los usuarios de acuerdo las necesidades que tengan: Monitorear los intentos de acceso exitosos y fallidos de los usuarios al sistema operativo: Conocer que existe un límite de intentos erróneos al sistema. Establecer el tiempo de Inactividad de una terminal Controlar que solo existan Software permitidos por la Organización. Conocer que formulario utilizar y como completarlo. 5. CASO DE ESTUDIO El presente proyecto se basa en el estudio de una PYME comercial en el cual se pretende mejorar la manera de administrar los datos que se generan dentro de la empresa. Situación actual: El sistema que se maneja dentro de la empresa está constituido por un servidor CENTOS y clientes WINDOWS XQ, los mismos que están conectados en una sola red, dentro del servidor se encuentra instalado la aplicación SAI que maneja un servidor de base de datos informix, utiliza un ROUTERBC042 para enlazar la central con la sucursal, y a través del mismo crea una VPN para acceso remoto. Cuenta con dos servidores de ISP los mismos que son de COTAS y ENTEL, las que brindan internet a los administradores de sistema.
Dentro de esta estructura de la PYME se pretende mejorar la forma de administración de la información a través de políticas, procedimientos e instructivos, a continuación se presenta un modelo que permita mejorar dicha administración. Situación ideal: Para el caso propuesto se presenta una posible solución para mejorar la administración de la información que se genera dentro de la PYME. Se recomienda utilizar medios de seguridad para restringir el acceso de usuarios no autorizados a los sistemas operativos, tales medios deberian tener la capacidad para:  Autenticar usuarios autorizados, de acuerdo con una politica definida de control de acceso;  Registrar intentos exitosos y fallidos de autenticación del sistema;  Registrar el uso de privilegios especiales del sistema;  Emitir alarmas cuando se violan las políticas de seguridad del sistema;  Suministrar medios adecuados para la autenticación:  Cuando sea apropiado, restringir el tiempo de conexión de los usuarios.
6. POLÍTICAS DE SEGURIDAD: 4.1. PRIVILEGIOS DE USUARIOS Se debe dar privilegios a usuarios para impedir accesos no autorizados, esto se lo puede realizar mediante la implementación de un Controlador de Dominios. Para iniciar al registro correspondiente de los usuarios en el sistema se tiene como principal definir cuáles son los privilegios que existen dentro del sistema. Encargado de ventas Administrador de sucursales Administrador de sistemas Encargado de TI Por otro lado dependiendo de la actividad a realizar por el usuario se asignara los correspondientes privilegios de accesos, y como así también de las aplicaciones instaladas. Para ello se consideran las siguientes políticas de seguridad. 4.1.1. La activación y desactivación de usuarios de sistemas operativos estará a cargo del personal técnico del Área de TI. 4.1.2. En la activación de usuarios de sistemas operativos, se crearán identificadores de usuario utilizando el estándar de la letra inicial del nombre seguida del primer apellido. 4.1.3. Siempre que los sistemas operativos utilizados lo permitan, deberá controlarse el número de intentos de ingreso fallidos. Luego de tres intentos, deberá bloquearse la cuenta del usuario y no permitir su ingreso al sistema. La cuenta debe estar bloqueada por 30 minutos y el administrador de seguridad podría desbloquearla antes por solicitud del usuario involucrado. 4.1.4. En el caso que el sistema operativo lo permita, se deberán implementar las bitácoras de seguimiento a los accesos, donde se registren los ingresos al sistema y los intentos fallidos. 4.1.5. El responsable por la seguridad revisará periódicamente esta bitácora y reportará a su Jefatura cualquier anomalía que encuentre. La información de esta bitácora debe estar disponible para cualquier autoridad que lo requiera. 4.1.6. La activación y desactivación de usuarios de los sistemas de información estará a cargo del personal técnico del Área de TI. 4.1.7. Para otorgarle acceso a las diferentes aplicaciones del sistema, de acuerdo con las funciones que debe desempeñar el usuario, la jefatura correspondiente deberá hacer la solicitud formal al encargado de seguridad. 4.1.8. En toda transacción que se realice en el sistema se deberá grabar el nombre del usuario, la fecha y la hora en que se realizó.
4.2. AUTENTICACIÓN Aquí se puede utilizar una política de un segundo factor de autenticación, con el objetivo de utilizar claves robustas en el procedimiento de inicio de sesión, en base a dos o más de los factores: algo que tengo (tarjeta de coordenadas), algo que soy (biometría) y/o algo que sé (password). 4.2.1. Las contraseñas deberán tener una longitud mínima de 12 caracteres alfanuméricos (alfabéticos, numéricos y especiales, como por ejemplo %$&/()”!). La longitud depende de la importancia de la información protegida, normalmente de 12-16 caracteres. 4.2.2. Las contraseñas caducarán de forma automática cada 45 días como máximo, y cumplido dicho plazo, el sistema obligará al usuario a cambiar su contraseña. La periodicidad marcada depende del nivel de información protegida, lo habitual es 30-60 días. 4.2.3. Un usuario quedará bloqueado al cabo de x intentos de acceso fallidos. Esta medida protege al sistema frente a ataques de fuerza bruta o muchos intentos fallidos. El número de intentos suele estar entre 2-3. 4.2.4. Los administradores de áreas deben solicitar formalmente la apertura, modificación o cierre de las cuentas de usuario. Cuando sea solicitada una apertura, deben indicar el perfil que se le debe asignar. 4.2.5. El encargado de seguridad informática no cambiará ninguna clave de acceso, si no es por solicitud expresa de su dueño. En caso de ser necesario y a solicitud de la administración se congelarán los accesos de un usuario específico. 4.2.6. El Área de TI establecerá los mecanismos adecuados para el control, verificación y monitoreo de cambios en passwords, número de sesiones activas, seguridad lógica, física de todas las actividades relacionadas con el uso de tecnologías de información. 4.2.7. Para evitar situaciones de peligro, se desactivarán o bloquearán las cuentas de usuario a aquellas personas que estén en vacaciones, con permisos o incapacidades mayores a una semana, para lo cual debe informar la dirección respectiva. 4.3. SOFTWARE Se debe limitar y mantener controlado el uso de programas utilitarios del sistema, los cuales sean capaces de eludir medidas de control del sistema o de las aplicaciones. Para ello se consideran las siguientes políticas para el uso correcto del software. 4.3.1. El Área de TI es la responsable de la instalación de los programas de software en cada una de las computadoras de la Empresa.
4.3.2. Queda completamente prohibido que los usuarios realicen instalaciones de cualquier tipo de software en sus computadoras. De requerir un software específico debe solicitarse al Área de TI para que se valore la necesidad de su instalación. 4.3.3. Todo software que se instale en las computadoras de los empleados deberá contar con su respectiva licencia y su instalación deberá ser autorizada por el Área de TI. 4.3.4. El personal del Área de TI deberá mantener un inventario de software y programas instalados en cada una de las computadoras. Este inventario deberá revisarse y actualizarse una vez al año. 4.3.5. Para la administración y el manejo seguro de la información que se almacena en los computadores y para evitar su utilización por personas no autorizadas, se utilizarán los Sistemas operativos que ofrezcan mayor seguridad, en nuestro caso Linux Centos y Windows XP. 4.4. TIEMPO INACTIVIDAD EN LAS TERMINALES Para las terminales utilizadas por la Organización se debe definir un período de tiempo de inactividad. En áreas públicas o no cubiertas por el sistema de seguridad de la Organización deben ser desactivadas después de que se cumpla el periodo de tiempo de inactividad previamente definido, para impedir el acceso a estas por usuarios no autorizados. 4.4.1. Se otorgara un tiempo limitado de 10 minutos de inactividad de una terminal, posteriormente se procederá al bloqueo correspondiente de la misma. 4.4.2. Por motivos de refrigerios, reuniones cada usuario pondrá el equipo en suspensión con la opción de bloqueo de inicio de sesión, y luego el sistema pida nuevamente una contraseña de usuario para el ingreso, para evitar posibles ingresos de personas cercanas a la empresa (familiares, amigos). 4.4.3. Siempre que sea técnicamente posible, se debe automatizar el procedimiento de bloqueo de identificadores de usuario, en los casos que se refieren a continuación, y según la clasificación de los sistemas ó el perfil de las cuentas afectadas. Dichos procedimientos de bloqueo, se podrían ejecutar en los siguientes casos: Por caducidad de los identificadores. Por inactividad de los identificadores Por intento de acceso fallido, utilizando dicho identificador en más de cinco intentos fallidos. Por baja temporal. Por baja definitiva (lo cual implicará la eliminación del identificador).
4.5. AUTORIZACIÓN Para que exista un correcto control, el acceso a los recursos (ficheros, aplicaciones, bases de datos, sistema operativo, configuración, etc.) debe ser autorizado por los propietarios de los recursos. 4.5.1. Las solicitudes de autorización, serán ejecutadas por los administradores de dichos recursos siguiendo las normativas impuestas por cada Responsable. 4.5.2. Como regla general, los usuarios únicamente tendrán acceso a los recursos necesarios para el ejercicio de sus funciones. Cualquier otro requerimiento al respecto se tramitará siguiendo el circuito de excepciones. 4.5.3. Independientemente del tipo de acceso, interno o externo, dicho acceso debe ser autorizado previamente siempre por el propietario/responsable del recurso. 4.5.4. Los usuarios que requieran acceder a los recursos de los sistemas de información deberán seguir las siguientes pautas: El Responsable del Área de cada usuario, solicitará su requerimiento, mediante una solicitud de autorización con al menos los siguientes datos: o Nombre y apellidos del solicitante. o Fecha. o Sistemas a los que se solicita el acceso, así como el acceso requerido a cada uno. o Motivo de solicitud. o Autorización del propietario del recurso. El Responsable asignado procesará la solicitud cumpliendo las siguientes reglas: o Verificar que la solicitud esté correctamente cumplimentada. o Comprobar que la solicitud y asignación de perfiles, no interfiere con la Política de Seguridad o esquema de segregación de funciones establecidas. 4.5.5. Será responsabilidad de los administradores de sistemas ejecutar solamente aquellas solicitudes que hayan sido autorizadas de acuerdo a los que se indica en el apartado anterior de este procedimiento. 4.5.6. En ningún caso asignarán privilegios y accesos a usuarios sin una solicitud previa. 4.5.7. Deberán resguardar todas las solicitudes tramitadas, y las pondrán a disposición en caso de auditorías internas o externas, así como para el control interno. 4.5.8. En el caso de que se autorice el acceso a recursos por un tiempo determinado, los administradores deberán cuidar que éste se cumpla, eliminando los privilegios en el tiempo establecido.
5. PROCEDIMIENTOS: Para llevar adelante las políticas establecidas por la empresa se emplean los siguientes procedimientos que nos permitirá realizar un trabajo de seguridad eficiente. 5.1. CONTROL DE ACCESO AL SISTEMA OPERATIVO. Para Identificación Automática de Terminales se debería realizar una evaluación de riesgos a fin de determinar el método de protección adecuado para el acceso al Sistema Operativo. Si del análisis realizado surgiera la necesidad de proveer un método de identificación de terminales, se debería redactar un procedimiento que indique: a) El método de identificación automática de terminales utilizado (ver anexos). b) El detalle de transacciones permitidas por terminal. 5.2. PROCEDIMIENTOS DE CONEXIÓN DE TERMINALES. Se debería definir un proceso de conexión seguro, este será diseñado para minimizar la oportunidad de acceso no autorizado. El procedimiento de identificación debería: a) Mantener en secreto los identificadores de sistemas o aplicaciones hasta tanto se halla llevado a cabo exitosamente el proceso de conexión. b) Desplegar un aviso general advirtiendo que sólo los usuarios autorizados pueden acceder a la computadora. c) Evitar dar mensajes de ayuda que pudieran asistir a un usuario no autorizado durante el procedimiento de conexión. d) Validar la información de la conexión sólo al completarse la totalidad de los datos de entrada. Si surge una condición de error, el sistema no debe indicar que parte de los datos es correcta o incorrecta. • Registrar los intentos no exitosos. • Impedir otros intentos de identificación, una vez superado el límite permitido. • Desconectar conexiones de comunicaciones de datos e) Limitar el tiempo máximo permitido para el procedimiento de conexión. Si este es excedido, el sistema debe finalizar la conexión. g) Desplegar la siguiente información, al completarse una conexión exitosa: • Fecha y hora de la conexión exitosa anterior. • Detalles de los intentos de conexión no exitosos desde la última conexión exitosa.
5.3. IDENTIFICACIÓN Y AUTENTICACIÓN DE USUARIO. Se debería asignar a todos los usuarios,un identificador único (ID de usuario) Los identificadores de usuarios no darán ningún indicio delnivel de privilegio otorgado. En circunstancias excepcionales, cuando existe un claro beneficiopara la Empresa, podría utilizarse un identificador compartido para un grupo de usuarios ouna tarea específica. Para casos de esta índole, debería documentarse la justificación y aprobacióndel Propietario de la Información de que se trate. Si se utilizara un método de autenticaciónfísico (por ejemplo autenticadores de hardware), debería implementarse un procedimiento queincluya: a) Asignar la herramienta de autenticación. b) Registrar los poseedores de autenticadores. c) Rescatar el autenticador al momento de la desvinculación del personal al que se leotorgó. d) Revocar el acceso del autenticador, en caso de compromiso de seguridad. Ver anexo. 5.4. SISTEMA DE GESTIÓN DE CONTRASEÑAS. Se debería establecer un sistema de administración de contraseñas, contemplando lo siguiente: a) Imponer el uso de contraseñas individuales para determinar responsabilidades. b) Permitir que los usuarios seleccionen y cambien sus propias contraseñas (luego de cumplido el plazo mínimo de mantenimiento de las mismas) e incluir un procedimiento de confirmación para contemplar los errores de ingreso. c) Imponer una selección de contraseñas de calidad según lo señalado en el punto “Uso de Contraseñas”. d) Imponer cambios en las contraseñas en aquellos casos en que los usuarios mantengan sus propias contraseñas, según lo señalado en el punto “Uso de Contraseñas”. e) Obligar a los usuarios a cambiar las contraseñas provisorias en su primer procedimiento de identificación, en los casos en que ellos seleccionen sus contraseñas. f) Mantener un registro de las últimas contraseñas utilizadas por el usuario, y evitar la reutilización de las mismas. g) Evitar mostrar las contraseñas en pantalla, cuando son ingresadas. h) Almacenar en forma separada los archivos de contraseñas y los datos de sistemas de aplicación.
i) Almacenar las contraseñas en forma cifrada utilizando un algoritmo de cifrado unidireccional. j) Modificar todas las contraseñas predeterminadas por el vendedor, una vez instalado el software y el hardware (por ejemplo claves de impresoras, hubs, routers, etc.). k) Garantizar que el medio utilizado para acceder/utilizar el sistema de contraseñas, asegure que no se tenga acceso a información temporal o en tránsito de forma no protegida. Ver anexo. 5.5. USO DE LOS SERVICIOS DEL SISTEMA. a) Utilizar procedimientos de autenticación para utilitarios del sistema. b) Separar entre utilitarios del sistema y software de aplicaciones. c) Limitar el uso de utilitarios del sistema a la cantidad mínima viable de usuarios fiables y autorizados. d) Evitar que personas ajenas a la Empresa tomen conocimiento de la existencia y modo de uso de los utilitarios instalados en las instalaciones informáticas. e) Establecer autorizaciones para uso ad hoc de utilitarios de sistema. f) Limitar la disponibilidad de utilitarios de sistema, por ejemplo durante el transcurso de un cambio autorizado. g) Registrar todo uso de utilitarios del sistema. h) Definir y documentar los niveles de autorización para utilitarios del sistema. i) Remover todo el software basado en utilitarios y software de sistema innecesarios. Ver anexo. 5.6. DESCONEXIÓN AUTOMÁTICA DE TERMINALES. Se debería definir cuáles se consideran terminales de alto riesgo o que sirven a sistemas de alto riesgo. Las mismas se apagarán después de un periodo definido de inactividad, por un lapso que responderá a los riesgos de seguridad del área y de la información que maneje la terminal. Para las PC’s, se debería implementar la desconexión por tiempo muerto, que limpie la pantalla y evite el acceso no autorizado, pero que no cierra las sesiones de aplicación o de red. Por otro lado, si un usuario debe abandonarsu puesto de trabajo momentáneamente, activará protectores de pantalla con contraseñas a losefectos de evitar que terceros puedan ver su trabajo o continuar con la sesión de usuario habilitada.Ver anexo. 5.7. LIMITACIÓN DEL TIEMPO DE CONEXIÓN.
Se debería implementar un control de esta índole para aplicaciones informáticas sensibles, especialmente aquellas terminales instaladas en ubicaciones de alto riesgo. Entre los controles que se deben aplicar, se enuncian: a) Utilizar lapsos predeterminados, por ejemplo para transmisiones de archivos en lote, o sesiones interactivas periódicas de corta duración. b) Limitar los tiempos de conexión al horario normal de oficina, de no existir un requerimiento operativo de horas extras o extensión horaria.Ver anexo. c) Documentar debidamente los agentes que no tienen restricciones horarias y las razones de su autorización. También cuando el Propietario de la Información autorice excepciones para una extensión horaria ocasional. Ver anexo. 6. ANEXOS: En este apartado se muestra los procedimientos y manuales con los que la PYME debe contar para mejorar el control de la información que genera dentro de la empresa 6.1. PROCEDIMIENTOS PARA EL CONTROL DE ACCESO A USUARIOS Para iniciar el programa de administración de usuarios y roles de los mismos tiene que acceder al Sistema operativo LINUX CENTOS, donde se tiene instalado el software de control de usuarios: Acceso al sistema operativo LINUX CENTOS Posteriormente el administrador abre el navegador en este caso Mozilla, y coloca el dominio que en este caso es https://localhost:10000 y estable el puerto por el cual se tiene que conectar el administrador, y establece su login y password de administración.
Una vez ingresado al sistema se encuentra todas las opciones de configuración y control del software de administración y control de usuarios. 6.2. PROCEDIMIENTO PARA IDENTIFICACIÓN Y AUTENTIFICACIÓN DE LOS USUARIOS En este procedimiento se expresa la forma como los usuarios se registran en el sistema para ello se siguen los siguientes pasos : 1. En el administrador WEBMIN se va a la pestaña Sistema 2. Posteriormente a la opción usuarios y grupos del sistema
Una vez registrado el usuario se procede a registrarlo en el WEBMIN para ello se tiene que ir a la pestaña donde dice: Usuarios de webmin Se elige la opción convertir usuarios UNIX a WEBMIN y se selecciona el o los usuarios a asignar en el programa. Figura 6. Clave de acceso de usuarios cifrada. 6.3. PROCEDIMIENTO PARA SISTEMA DE GESTIÓN DE CONTRASEÑAS Para llevar adelante el sistema de gestión de claves de usuarios, el sistema de administración WEBMIN utiliza el software de kerberos que es sistema de generación de claves de acceso de usuarios. Por lo cual una vez asignada una contraseña el software lo encripta esa clave. Figura 7. Clave de acceso de usuarios cifrada.
6.4. PROCEDIMIENTO PARA PRIVILEGIOS DE USUARIOS El administrador WEBMIN es el que permite generar los privilegios de los usuarios, el mismo que son asignados por el administrador de sistemas. 1. Ir a la opción usuarios de WEBMIN 2. Seleccionar el usuario 3. Ir a la opción Available Webmin modules Figura 8. Privilegios de acceso de los usuarios. 6.5. PROCEDIMIENTO PARA INACTIVIDAD DE TERMINALES El WEBMIN es el que permite definir el tiempo de inactividad de las terminales este en caso de vacaciones y salidas de los empleados. Para ello ir a la opción del usuario y seleccionar el usuario correspondiente, les abrirá un ventana en el cual se podrá definir el tiempo de inactividad de la terminal. 6.6. PROCEDIMIENTO PARA LIMITAR EL TIEMPO DE CONEXIÓN El sistema nos permite definir cuanto tiempo estará habilitada la terminal para el acceso de los usuarios.
Para ello nos vamos a la pestaña del usuario de webmin y seleccionamos el usuario a establecer el tiempo de actividad de la terminal. 7. INSTRUCTIVOS 7.1. Instalación del Software WEBMIN para LINUX CENTOS en la versión 6.4 final. 1. Lo primero es descargar el paquete de instalación, para ello pueden ir a la dirección: http://downloads.sourceforge.net/project/webadmin/webmin/1.560/webmin-1.560.tar.gz 2. Luego si queremos utilizar webmin tenemos que instalar perl (un lenguaje de programacion usado por webmin) openssl (para acceder a las paginas de webmin de modo seguro) y perl-Net-SSLeay, una extension en perl para el uso de openssl. Instalamos los programas necesarios con el comando (distribucion centos): yum install perl openssl openssl-devel perl-Net-SSLeay 3. Creamos una carpeta donde vamos a instalar webmin mkdir /usr/local/webmin 4. Nos posicionamos en la carpeta /usr/src y escribimos el siguiente comando: cd /usr/src 5. Decomprimimos el programa utilizando el siguiente comando: tar -xf webmin-1.560.tar.gz 6. Procedemos a ingresar a la carpeta creada: cd webmin-1.560 7. Luego iniciamos la instalación ./setup.sh /usr/local/webmin Le damos enter y continúa la instalación
Configuramos el número de puerto con el que saldrá en este caso le pusimos 25000 8. En teoría, esto ya está listo. Sin embargo, tenemos nos encontraremos con la siguiente advertencia si accedemos desde Firefox: Advertencia de seguridad de Firefox Para que no nos vuelva a aparecer hacemos clic sobre “O puede añadir una excepción…“ 9. A continuación hacemos clic sobre Añadir excepción…
Añadimos la excepción 10. En el siguiente paso hacemos clic sobre Obtener certificado y después sobre Confirmar excepción de seguridad. Obtenemos el certificado y confirmamos la excepción 11. Ahora ya podemos iniciar sesión en Webmin. Como nombre de usuario podemos usar root (si lo tenemos habilitado) o cualquier usuario del sistema con privilegios de administrador.
Iniciamos la sesión en Webmin 12. Y así accedemos a la interfaz de Webmin. Página de inicio de Webmin ¿Cómo? ¡Está en inglés! Bueno, tampoco es para tanto pero no vamos a terminar sin cambiar el idioma a español. 13. Para cambiar el idioma hacemos clic sobre Webmin en el menú de la izquierda, después en Webmin Configuration y, por último, sobre Language. Accedemos a la configuración de Webmin
14. Ahora en Display in language seleccionamos Spanish (ES) y hacemos clic en Change Language. Cambiamos el idioma a Spanish (Español) 15. Seguramente veremos parte de la interfaz en español pero no toda pero bastará con pulsar la tecla F5 para actualizar la página. 16. Ya tenemos la interfaz de Webmin en español como podemos comprobar en el menú de la izquierda. 7.2. CONFIGURANDO EL DOMINIO 1. Instalación Samba 4,en una Terminal Centos ejecutamos lo Siguiente yum install git-core git clone git://git.samba.org/samba.git samba-master shutdown -r now //Reiniciamos el Equipo cd samba-master ./configure --enable-debug --enable-selftest Make // compilamos Make Install // Instalamos Samba 2. Creando el Samba Provider, en una terminal ejecutamos: /usr/local/samba/bin/samba-tool domain provision Realm [MYDOMAIN.COM]: WUBI [mi Dominio]: (presionamos Enter) Server Role (dc, member, standalone) [dc]: (presionamos Enter) DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: (presionamos Enter) Administrator password: Contraseña del Dominio Retype password: Contraseña del Dominio Después de terminar nos mostrar lo siguiente: Creating CN=MicrosoftDNS,CN=System,DC=WUBI,DC=com
Creating DomainDnsZones and ForestDnsZones partitions Populating DomainDnsZones and ForestDnsZones partitions Setting up sam.ldb rootDSE marking as synchronized Fixing provision GUIDs A Kerberos configuration suitable for Samba 4 has been generated at /usr/local/samba/private/krb5.conf Once the above files are installed, your Samba4 server will be ready to use Server Role: active directory domain controller Hostname: samba NetBIOS Domain: WUBI DNS Domain: wubi.com DOMAIN SID: S-1-5-xx-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxxx shutdown -r now //Reiniciamos el Equipo 3. Iniciamos el SAMBA 4 AD DC # /usr/local/samba/sbin/samba 4. Prueba de Samba como un DC Active Directory, Ejecutamos en una terminal: Verificamos que estamos trabajando con la versión correcta # /usr/local/samba/sbin/samba -V Version 4.1.0pre1-GIT-c1fb37d Verificamos que estamos ejecutando el cliente correcto # /usr/local/samba/bin/smbclient --version Version 4.1.0pre1-GIT-c1fb37d Ejecutamos lo siguiente para listar el Detalle de nuestro dominio # /usr/local/samba/bin/smbclient -L localhost -U% # /usr/local/samba/bin/smbclient -L localhost -U% Domain=[MYDOMAIN] OS=[Unix] Server=[Samba 4.1.0pre1-GIT-c1fb37d] Sharename Type Comment --------- ---- ------- netlogon Disk sysvol Disk IPC$ IPC IPC Service (Samba 4.1.0pre1-GIT-c1fb37d) Domain=[WUBI] OS=[Unix] Server=[Samba 4.1.0pre1-GIT-c1fb37d] Server Comment --------- ------- WUBI Master --------- ------- 5. Configurando el DNS
Editamos el archivo /etc/named.conf Incluimos al final del archivo lo siguiente include "/usr/local/samba/private/named.conf"; 6. Instalando y configurando Kerberos En una Terminal Ejecutamos: yum install glibc glibc-devel gcc python* libacl-devel krb5-workstation krb5-libs pam_krb5 Creamos un Backup del archivo de configuración cp /usr/local/samba/share/setup/krb5.conf /etc/krb5.conf Editamos el archivo y ponemos lo siguiente: # gedit /etc/krb5.conf [libdefaults] default_realm = MYDOMAIN.COM dns_lookup_realm = false dns_lookup_kdc = true 7. Testeando Kerberos Utilizamos el comando kinit # kinit administrator@WUBI.COM Password for administrator@WUBI.COM: Warning: Your password will expire in 41 days on Sun Feb 3 14:21:51 2013 7.3. Configurar el cliente Windows al Dominio A continuación describiremos como agregar un cliente Windows al dominio WUBI 1) Haga clic en el icono "Mi PC" y seleccionar "Propiedades" 2) Desde "Configuración avanzada del sistema" clic el panel de la izquierda 3) Seleccione la pestaña "Nombre de equipo" y haga clic en "Cambio ..." 4) Seleccione 'Domain' opción e introduzca WUBI. 5) Cuando se solicita un nombre de usuario y contraseña, escriba "Administrador" como nombre de usuario e introduzca su contraseña. (Contraseña = la contraseña que utilizó cuando se ejecutó el
comando 'samba-herramienta provisión dominio'). 6) Usted debe obtener un cuadro de mensaje que indica "Bienvenido al dominio WUBI '. 7) Haga clic en Aceptar en este cuadro de mensaje y la ventana Propiedades y, a continuación, se le indicará que reinicie el equipo. 8) Después de reiniciar debe ser presentado con el cuadro de diálogo de inicio de sesión normal 9) Seleccione el Dominio WUBI y a continuación debe autenticarse con el usuario creado en el Dominio
8. REFERENCIAS BIBLIOGRAFICAS: http://www.centos.org/ http://www.samba.org/samba/docs/ http://www.webmin.com/docs.html http://www.iso27000.es/ http://www.27000.org/iso-27002.htm http://wiki.centos.org/Manuals/ReleaseNotes/CentOS6.3 http://sourceforge.net/projects/vufind/files/VuFind/1.4/vufind-1.4.tar.gz/download http://es.wikipedia.org/wiki/CentOS

Empfohlen

Auditoria RRHH
Auditoria RRHHAuditoria RRHH
Auditoria RRHHEl Addir M A
 
Webmin: Administrador de Sistemas Via Web
Webmin: Administrador de Sistemas Via WebWebmin: Administrador de Sistemas Via Web
Webmin: Administrador de Sistemas Via WebHIPOLITO GRULLON
 
Webmin practica
Webmin practicaWebmin practica
Webmin practicaRuben Ceballos Fernandez
 
PROXY CENTOS 6.5
PROXY CENTOS 6.5PROXY CENTOS 6.5
PROXY CENTOS 6.5Edwin Belduma
 
DHCP Webmin (Ubuntu)
DHCP Webmin (Ubuntu)DHCP Webmin (Ubuntu)
DHCP Webmin (Ubuntu)Sergio Santos
 
Práctica 3
Práctica 3Práctica 3
Práctica 3Caleb Betancourt
 
Práctica 3
Práctica 3Práctica 3
Práctica 3Caleb Betancourt
 
Control de acceso al sistema operativo
Control de acceso al sistema operativoControl de acceso al sistema operativo
Control de acceso al sistema operativoGalindo Urzagaste
 

Empfohlen

Auditoria RRHH
Auditoria RRHHAuditoria RRHH
Auditoria RRHHEl Addir M A
 
Webmin: Administrador de Sistemas Via Web
Webmin: Administrador de Sistemas Via WebWebmin: Administrador de Sistemas Via Web
Webmin: Administrador de Sistemas Via WebHIPOLITO GRULLON
 
Webmin practica
Webmin practicaWebmin practica
Webmin practicaRuben Ceballos Fernandez
 
PROXY CENTOS 6.5
PROXY CENTOS 6.5PROXY CENTOS 6.5
PROXY CENTOS 6.5Edwin Belduma
 
DHCP Webmin (Ubuntu)
DHCP Webmin (Ubuntu)DHCP Webmin (Ubuntu)
DHCP Webmin (Ubuntu)Sergio Santos
 
Práctica 3
Práctica 3Práctica 3
Práctica 3Caleb Betancourt
 
Práctica 3
Práctica 3Práctica 3
Práctica 3Caleb Betancourt
 
Control de acceso al sistema operativo
Control de acceso al sistema operativoControl de acceso al sistema operativo
Control de acceso al sistema operativoGalindo Urzagaste
 
Proyecto grupal
Proyecto grupalProyecto grupal
Proyecto grupalA Wilson Emilio Cedeño Lopez
 
Auditoria informatica: Resumen por daniel izquierdo
Auditoria informatica: Resumen por daniel izquierdoAuditoria informatica: Resumen por daniel izquierdo
Auditoria informatica: Resumen por daniel izquierdoDaniel Izquierdo
 
CAPITULO 5: EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
CAPITULO 5: EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTOCAPITULO 5: EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
CAPITULO 5: EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTOOrlando Bello
 
Diseno implementacion sistema_informacion7-2
Diseno implementacion sistema_informacion7-2Diseno implementacion sistema_informacion7-2
Diseno implementacion sistema_informacion7-2TF Larsen
 
Auditoria informatica e integral
Auditoria informatica e integralAuditoria informatica e integral
Auditoria informatica e integralGustavo Alvarez
 
Caso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosCaso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosEduardo Gonzalez
 
SISTEMA DE INFORMACION DE APOYO AL AREA ADMINISTRATIVA EN LA DISTRIBUIDORA EL...
SISTEMA DE INFORMACION DE APOYO AL AREA ADMINISTRATIVA EN LA DISTRIBUIDORA EL...SISTEMA DE INFORMACION DE APOYO AL AREA ADMINISTRATIVA EN LA DISTRIBUIDORA EL...
SISTEMA DE INFORMACION DE APOYO AL AREA ADMINISTRATIVA EN LA DISTRIBUIDORA EL...Luis Gonzalez
 
Gestion del conocimiento
Gestion del conocimientoGestion del conocimiento
Gestion del conocimientokatyagordillo
 
Gestión del Conocimiento
Gestión del ConocimientoGestión del Conocimiento
Gestión del Conocimientokatyagordillo
 
Gestión del Conocimiento
Gestión del ConocimientoGestión del Conocimiento
Gestión del Conocimientokatyagordillo
 
ADMINISTRACION DE PROYECTOS
ADMINISTRACION DE PROYECTOSADMINISTRACION DE PROYECTOS
ADMINISTRACION DE PROYECTOSJosé Antonio Sandoval Acosta
 
Auditoriade sistemas controles
Auditoriade sistemas controlesAuditoriade sistemas controles
Auditoriade sistemas controlesEliecer Espinosa
 
Evaluación de procesos
Evaluación de procesosEvaluación de procesos
Evaluación de procesosjonatanmurcia104
 
Auditoria de sistemas trabajo para enviar 1
Auditoria de sistemas trabajo para enviar 1Auditoria de sistemas trabajo para enviar 1
Auditoria de sistemas trabajo para enviar 1katerinepinilla
 
Informe final
Informe final Informe final
Informe final KIMBERLYPAOLA3
 
CAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
CAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTOCAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
CAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTOOrlando Bello
 
Gestion del conocimiento
Gestion del conocimientoGestion del conocimiento
Gestion del conocimientokatyagordillo
 
empresa creadora de software.docx
empresa creadora de software.docxempresa creadora de software.docx
empresa creadora de software.docxCLARIBELVILLARREAL
 
5 ideas de proyecto
5 ideas de proyecto 5 ideas de proyecto
5 ideas de proyecto dante flo
 
Trabajo de investigacion_auditoria_(victor_lara)
Trabajo de investigacion_auditoria_(victor_lara)Trabajo de investigacion_auditoria_(victor_lara)
Trabajo de investigacion_auditoria_(victor_lara)IsJmlr
 
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...Carlos Muñoz
 
Historia y técnica del collage en el arte
Historia y técnica del collage en el arteHistoria y técnica del collage en el arte
Historia y técnica del collage en el arteRaquel Martín Contreras
 

Weitere ähnliche Inhalte

Ähnlich wie Control de acceso al SO

Auditoria informatica: Resumen por daniel izquierdo
Auditoria informatica: Resumen por daniel izquierdoAuditoria informatica: Resumen por daniel izquierdo
Auditoria informatica: Resumen por daniel izquierdoDaniel Izquierdo
 
CAPITULO 5: EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
CAPITULO 5: EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTOCAPITULO 5: EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
CAPITULO 5: EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTOOrlando Bello
 
Diseno implementacion sistema_informacion7-2
Diseno implementacion sistema_informacion7-2Diseno implementacion sistema_informacion7-2
Diseno implementacion sistema_informacion7-2TF Larsen
 
Auditoria informatica e integral
Auditoria informatica e integralAuditoria informatica e integral
Auditoria informatica e integralGustavo Alvarez
 
Caso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosCaso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosEduardo Gonzalez
 
SISTEMA DE INFORMACION DE APOYO AL AREA ADMINISTRATIVA EN LA DISTRIBUIDORA EL...
SISTEMA DE INFORMACION DE APOYO AL AREA ADMINISTRATIVA EN LA DISTRIBUIDORA EL...SISTEMA DE INFORMACION DE APOYO AL AREA ADMINISTRATIVA EN LA DISTRIBUIDORA EL...
SISTEMA DE INFORMACION DE APOYO AL AREA ADMINISTRATIVA EN LA DISTRIBUIDORA EL...Luis Gonzalez
 
Gestion del conocimiento
Gestion del conocimientoGestion del conocimiento
Gestion del conocimientokatyagordillo
 
Gestión del Conocimiento
Gestión del ConocimientoGestión del Conocimiento
Gestión del Conocimientokatyagordillo
 
Gestión del Conocimiento
Gestión del ConocimientoGestión del Conocimiento
Gestión del Conocimientokatyagordillo
 
Auditoriade sistemas controles
Auditoriade sistemas controlesAuditoriade sistemas controles
Auditoriade sistemas controlesEliecer Espinosa
 
Auditoria de sistemas trabajo para enviar 1
Auditoria de sistemas trabajo para enviar 1Auditoria de sistemas trabajo para enviar 1
Auditoria de sistemas trabajo para enviar 1katerinepinilla
 
CAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
CAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTOCAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
CAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTOOrlando Bello
 
Gestion del conocimiento
Gestion del conocimientoGestion del conocimiento
Gestion del conocimientokatyagordillo
 
empresa creadora de software.docx
empresa creadora de software.docxempresa creadora de software.docx
empresa creadora de software.docxCLARIBELVILLARREAL
 
5 ideas de proyecto
5 ideas de proyecto 5 ideas de proyecto
5 ideas de proyecto dante flo
 
Trabajo de investigacion_auditoria_(victor_lara)
Trabajo de investigacion_auditoria_(victor_lara)Trabajo de investigacion_auditoria_(victor_lara)
Trabajo de investigacion_auditoria_(victor_lara)IsJmlr
 

Ähnlich wie Control de acceso al SO (20)

Proyecto grupal
Proyecto grupalProyecto grupal
Proyecto grupal
 
Auditoria informatica: Resumen por daniel izquierdo
Auditoria informatica: Resumen por daniel izquierdoAuditoria informatica: Resumen por daniel izquierdo
Auditoria informatica: Resumen por daniel izquierdo
 
CAPITULO 5: EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
CAPITULO 5: EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTOCAPITULO 5: EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
CAPITULO 5: EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
 
Diseno implementacion sistema_informacion7-2
Diseno implementacion sistema_informacion7-2Diseno implementacion sistema_informacion7-2
Diseno implementacion sistema_informacion7-2
 
Auditoria informatica e integral
Auditoria informatica e integralAuditoria informatica e integral
Auditoria informatica e integral
 
Caso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosCaso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas Informaticos
 
SISTEMA DE INFORMACION DE APOYO AL AREA ADMINISTRATIVA EN LA DISTRIBUIDORA EL...
SISTEMA DE INFORMACION DE APOYO AL AREA ADMINISTRATIVA EN LA DISTRIBUIDORA EL...SISTEMA DE INFORMACION DE APOYO AL AREA ADMINISTRATIVA EN LA DISTRIBUIDORA EL...
SISTEMA DE INFORMACION DE APOYO AL AREA ADMINISTRATIVA EN LA DISTRIBUIDORA EL...
 
Gestion del conocimiento
Gestion del conocimientoGestion del conocimiento
Gestion del conocimiento
 
Gestión del Conocimiento
Gestión del ConocimientoGestión del Conocimiento
Gestión del Conocimiento
 
Gestión del Conocimiento
Gestión del ConocimientoGestión del Conocimiento
Gestión del Conocimiento
 
ADMINISTRACION DE PROYECTOS
ADMINISTRACION DE PROYECTOSADMINISTRACION DE PROYECTOS
ADMINISTRACION DE PROYECTOS
 
Auditoriade sistemas controles
Auditoriade sistemas controlesAuditoriade sistemas controles
Auditoriade sistemas controles
 
Evaluación de procesos
Evaluación de procesosEvaluación de procesos
Evaluación de procesos
 
Auditoria de sistemas trabajo para enviar 1
Auditoria de sistemas trabajo para enviar 1Auditoria de sistemas trabajo para enviar 1
Auditoria de sistemas trabajo para enviar 1
 
Informe final
Informe final Informe final
Informe final
 
CAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
CAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTOCAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
CAPITULO 5 : EVALUACION DEL PROCESO DE DATOS Y DE LOS EQUIPOS DE COMPUTO
 
Gestion del conocimiento
Gestion del conocimientoGestion del conocimiento
Gestion del conocimiento
 
empresa creadora de software.docx
empresa creadora de software.docxempresa creadora de software.docx
empresa creadora de software.docx
 
5 ideas de proyecto
5 ideas de proyecto 5 ideas de proyecto
5 ideas de proyecto
 
Trabajo de investigacion_auditoria_(victor_lara)
Trabajo de investigacion_auditoria_(victor_lara)Trabajo de investigacion_auditoria_(victor_lara)
Trabajo de investigacion_auditoria_(victor_lara)
 

Kürzlich hochgeladen

Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...Carlos Muñoz
 
Historia y técnica del collage en el arte
Historia y técnica del collage en el arteHistoria y técnica del collage en el arte
Historia y técnica del collage en el arteRaquel Martín Contreras
 
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptxTECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptxKarlaMassielMartinez
 
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLAACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLAJAVIER SOLIS NOYOLA
 
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdfEjercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdfMaritzaRetamozoVera
 
Estrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcciónEstrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcciónLourdes Feria
 
Qué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativaQué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativaDecaunlz
 
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...JAVIER SOLIS NOYOLA
 
PLAN DE REFUERZO ESCOLAR primaria (1).docx
PLAN DE REFUERZO ESCOLAR primaria (1).docxPLAN DE REFUERZO ESCOLAR primaria (1).docx
PLAN DE REFUERZO ESCOLAR primaria (1).docxlupitavic
 
Dinámica florecillas a María en el mes d
Dinámica florecillas a María en el mes dDinámica florecillas a María en el mes d
Dinámica florecillas a María en el mes dstEphaniiie
 
Heinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoHeinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoFundación YOD YOD
 
plande accion dl aula de innovación pedagogica 2024.pdf
plande accion dl aula de innovación pedagogica 2024.pdfplande accion dl aula de innovación pedagogica 2024.pdf
plande accion dl aula de innovación pedagogica 2024.pdfenelcielosiempre
 
Ecosistemas Natural, Rural y urbano 2021.pptx
Ecosistemas Natural, Rural y urbano 2021.pptxEcosistemas Natural, Rural y urbano 2021.pptx
Ecosistemas Natural, Rural y urbano 2021.pptxolgakaterin
 
Registro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxRegistro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxFelicitasAsuncionDia
 
Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...Lourdes Feria
 
proyecto de mayo inicial 5 añitos aprender es bueno para tu niño
proyecto de mayo inicial 5 añitos aprender es bueno para tu niñoproyecto de mayo inicial 5 añitos aprender es bueno para tu niño
proyecto de mayo inicial 5 añitos aprender es bueno para tu niñotapirjackluis
 
GUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdf
GUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdfGUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdf
GUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdfPaolaRopero2
 
origen y desarrollo del ensayo literario
origen y desarrollo del ensayo literarioorigen y desarrollo del ensayo literario
origen y desarrollo del ensayo literarioELIASAURELIOCHAVEZCA1
 

Kürzlich hochgeladen (20)

Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
 
Historia y técnica del collage en el arte
Historia y técnica del collage en el arteHistoria y técnica del collage en el arte
Historia y técnica del collage en el arte
 
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptxTECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
 
Power Point: Fe contra todo pronóstico.pptx
Power Point: Fe contra todo pronóstico.pptxPower Point: Fe contra todo pronóstico.pptx
Power Point: Fe contra todo pronóstico.pptx
 
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLAACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
 
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdfEjercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
Ejercicios de PROBLEMAS PAEV 6 GRADO 2024.pdf
 
Estrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcciónEstrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcción
 
Qué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativaQué es la Inteligencia artificial generativa
Qué es la Inteligencia artificial generativa
 
Sesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronósticoSesión de clase: Fe contra todo pronóstico
Sesión de clase: Fe contra todo pronóstico
 
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
LABERINTOS DE DISCIPLINAS DEL PENTATLÓN OLÍMPICO MODERNO. Por JAVIER SOLIS NO...
 
PLAN DE REFUERZO ESCOLAR primaria (1).docx
PLAN DE REFUERZO ESCOLAR primaria (1).docxPLAN DE REFUERZO ESCOLAR primaria (1).docx
PLAN DE REFUERZO ESCOLAR primaria (1).docx
 
Dinámica florecillas a María en el mes d
Dinámica florecillas a María en el mes dDinámica florecillas a María en el mes d
Dinámica florecillas a María en el mes d
 
Heinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoHeinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativo
 
plande accion dl aula de innovación pedagogica 2024.pdf
plande accion dl aula de innovación pedagogica 2024.pdfplande accion dl aula de innovación pedagogica 2024.pdf
plande accion dl aula de innovación pedagogica 2024.pdf
 
Ecosistemas Natural, Rural y urbano 2021.pptx
Ecosistemas Natural, Rural y urbano 2021.pptxEcosistemas Natural, Rural y urbano 2021.pptx
Ecosistemas Natural, Rural y urbano 2021.pptx
 
Registro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptxRegistro Auxiliar - Primaria 2024 (1).pptx
Registro Auxiliar - Primaria 2024 (1).pptx
 
Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...Caja de herramientas de inteligencia artificial para la academia y la investi...
Caja de herramientas de inteligencia artificial para la academia y la investi...
 
proyecto de mayo inicial 5 añitos aprender es bueno para tu niño
proyecto de mayo inicial 5 añitos aprender es bueno para tu niñoproyecto de mayo inicial 5 añitos aprender es bueno para tu niño
proyecto de mayo inicial 5 añitos aprender es bueno para tu niño
 
GUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdf
GUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdfGUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdf
GUIA DE CIRCUNFERENCIA Y ELIPSE UNDÉCIMO 2024.pdf
 
origen y desarrollo del ensayo literario
origen y desarrollo del ensayo literarioorigen y desarrollo del ensayo literario
origen y desarrollo del ensayo literario
 

Control de acceso al SO

  • 1. UNIVERSIDAD AUTONOMA GABRIEL RENE MORENO FACULTAD INTEGRAL DEL CHACO UNIDAD DE POSTGRADO POLITICAS PROCEDIMIENTOS PARA EL CONTROL DE ACCESO AL S. O. ELABORADO POR: Galindo F. Urzagaste H. Joel A. Padilla R. Yohana Y. Salces Mariselva Pantoja | Luis C. Barbeyto
  • 2. ÍNDICE DE CONTENIDOS 1. RESUMEN EJECUTIVO: ________________________________________________ 4 2. INTRODUCCION _____________________________________________________ 4 3. OBJETIVO: __________________________________________________________ 5 4. ALCANCE ___________________________________________________________ 5 5. Caso de estudio _____________________________________________________ 5 6. POLÍTICAS DE SEGURIDAD: ____________________________________________ 7 4.1. Privilegios de Usuarios ____________________________________________________ 7 4.2. Autenticación ___________________________________________________________ 8 4.3. Software _______________________________________________________________ 8 4.4. Tiempo Inactividad en las Terminales ________________________________________ 9 4.5. Autorización ___________________________________________________________ 10 5. PROCEDIMIENTOS: __________________________________________________ 11 5.1. Control de acceso al sistema operativo. _____________________________________ 11 5.2. Procedimientos de conexión de terminales. ____________________________________ 11 5.3. Identificación y autenticación de usuario. ____________________________________ 12 5.4. Sistema de gestión de contraseñas. ___________________________________________ 12 5.5. Uso de los servicios del sistema. _____________________________________________ 13 5.6. Desconexión automática de terminales. _______________________________________ 13 5.7. Limitación del tiempo de conexión. ___________________________________________ 13 6. Anexos: ___________________________________________________________ 14 6.1. PROCEDIMIENTOS PARA EL CONTROL DE ACCESO A USUARIOS __________________ 14 6.2. Procedimiento para identificación y autentificación de los usuarios _______________ 15 6.3. Procedimiento para sistema de gestión de contraseñas _________________________ 16 6.4. Procedimiento para privilegios de usuarios ___________________________________ 17 6.5. Procedimiento para inactividad de terminales ________________________________ 17 6.6. Procedimiento para limitar el tiempo de conexión _____________________________ 17 7. Instructivos ________________________________________________________ 18
  • 3. 7.1. Instalación del Software WEBMIN para LINUX CENTOS en la versión 6.4 final. ___________ 18 7.2. CONFIGURANDO EL DOMINIO _________________________________________________ 22 1. Instalación Samba 4,en una Terminal Centos ejecutamos lo Siguiente _________________ 22 2. Creando el Samba Provider, en una terminal ejecutamos: ___________________________ 22 3. Iniciamos el SAMBA 4 AD DC __________________________________________________ 23 4. Prueba de Samba como un DC Active Directory, Ejecutamos en una terminal: ___________ 23 5. Configurando el DNS _________________________________________________________ 23 6. Instalando y configurando Kerberos _____________________________________________ 24 7.3. Configurar el cliente Windows al Dominio ________________________________________ 24 8. REFERENCIAS BIBLIOGRAFICAS: _______________________________________ 26
  • 4. CONTROL DE ACCESOS AL SISTEMA OPERATIVO 1. RESUMEN EJECUTIVO: El presente proyecto se estable las bases para mejorar el control de acceso de los usuarios al sistema operativo para una PYME en nuestro caso de estudio para los sistemas operativos LINUX CENTOS y WINDOWS XP, el mismo que será aplicado mediante el uso de políticas institucionales para el manejo de los recursos de las terminales. Por ello en el presente documento se presentan las políticas aplicadas al control de acceso al sistema operativo como así también los procedimientos que se tienen que realizar para un mejor manejo de los recursos de la PYME. Estos procedimientos permitirán al administrador de sistemas configurar adecuadamente los grupos y privilegios de cada uno de los usuarios que acceden al servidor. También se incluye un manual de instalación de software utilizados, que servirán de guía para que la empresa ponga en funcionamiento esta solución posible y de esta manera mejorar sus funcionalidades. Debido al caso de estudio realizado de la PYME comercial, todo el presente documento se centra la utilización de software libre que permitirá reducir el gasto de presupuesto destinado a las TI de la misma empresa. Por otro lado la información será centralizada en un servidor de datos basado en LINUX CENTOS, para el proyecto se utilizó la versión 6.4 Para dar una posible solución al caso de estudio se instalóy configuro un controlador de dominio basado en un servidor samba en Linux Centos para realizar la conexión de ambos sistemas operativos y administrar los usuarios registrados en el dominio. Por otro lado se utilizó el software WEBMIN para establecer los roles de los usuarios como así también la forma de cómo se conectara a la terminal y el tiempo de actividad de cada una de ellas. 2. INTRODUCCION El manejo de la información en toda organización, institución o empresa, es de vital importancia, y en estos últimos tiempos el uso de la tecnología crece de una forma abismal, es por eso que el uso eficiente de recursos tecnológicos nos permitan tener un resguardo adecuado de la información en todos los sentidos, debido a que existen diversos factores que interfieren en la obtención de información no autorizada por parte de terceros. Este documento contiene las políticas, procedimientos informáticos institucionales, que son aplicables a todas las Direcciones de la empresa del caso de estudio y en general a la estructura organizativa de la Consultora. Por otro lado se muestra las posibles mejoras que se puedan realizar en la empresa con el objetivo de mejorar la calidad de servicio que se
  • 5. brinda y el acceso a la información sea más eficiente y confiable posible, manteniendo en todo momento las tecnologías de seguridad de la información. La finalidad de este documento es que junto a otro material relacionado, sirva como un instrumento de consulta permanente y como guía especializada, para las áreas usuarias e interesadas dentro de la Empresa. 3. OBJETIVO: Evitar el acceso no autorizado a los sistemas operativos mediante la implementación de seguridad en los accesos de usuarios por medio de técnicas de autenticación y autorización clientes. 4. ALCANCE La Política definida en este documento se aplica a todas las formas de acceso de aquellos usuarios a quienes se les haya otorgado permisos sobre el Sistema Operativo. Nos permitirá: Establecer Privilegios a los usuarios de acuerdo las necesidades que tengan: Monitorear los intentos de acceso exitosos y fallidos de los usuarios al sistema operativo: Conocer que existe un límite de intentos erróneos al sistema. Establecer el tiempo de Inactividad de una terminal Controlar que solo existan Software permitidos por la Organización. Conocer que formulario utilizar y como completarlo. 5. CASO DE ESTUDIO El presente proyecto se basa en el estudio de una PYME comercial en el cual se pretende mejorar la manera de administrar los datos que se generan dentro de la empresa. Situación actual: El sistema que se maneja dentro de la empresa está constituido por un servidor CENTOS y clientes WINDOWS XQ, los mismos que están conectados en una sola red, dentro del servidor se encuentra instalado la aplicación SAI que maneja un servidor de base de datos informix, utiliza un ROUTERBC042 para enlazar la central con la sucursal, y a través del mismo crea una VPN para acceso remoto. Cuenta con dos servidores de ISP los mismos que son de COTAS y ENTEL, las que brindan internet a los administradores de sistema.
  • 6. Dentro de esta estructura de la PYME se pretende mejorar la forma de administración de la información a través de políticas, procedimientos e instructivos, a continuación se presenta un modelo que permita mejorar dicha administración. Situación ideal: Para el caso propuesto se presenta una posible solución para mejorar la administración de la información que se genera dentro de la PYME. Se recomienda utilizar medios de seguridad para restringir el acceso de usuarios no autorizados a los sistemas operativos, tales medios deberian tener la capacidad para:  Autenticar usuarios autorizados, de acuerdo con una politica definida de control de acceso;  Registrar intentos exitosos y fallidos de autenticación del sistema;  Registrar el uso de privilegios especiales del sistema;  Emitir alarmas cuando se violan las políticas de seguridad del sistema;  Suministrar medios adecuados para la autenticación:  Cuando sea apropiado, restringir el tiempo de conexión de los usuarios.
  • 7. 6. POLÍTICAS DE SEGURIDAD: 4.1. PRIVILEGIOS DE USUARIOS Se debe dar privilegios a usuarios para impedir accesos no autorizados, esto se lo puede realizar mediante la implementación de un Controlador de Dominios. Para iniciar al registro correspondiente de los usuarios en el sistema se tiene como principal definir cuáles son los privilegios que existen dentro del sistema. Encargado de ventas Administrador de sucursales Administrador de sistemas Encargado de TI Por otro lado dependiendo de la actividad a realizar por el usuario se asignara los correspondientes privilegios de accesos, y como así también de las aplicaciones instaladas. Para ello se consideran las siguientes políticas de seguridad. 4.1.1. La activación y desactivación de usuarios de sistemas operativos estará a cargo del personal técnico del Área de TI. 4.1.2. En la activación de usuarios de sistemas operativos, se crearán identificadores de usuario utilizando el estándar de la letra inicial del nombre seguida del primer apellido. 4.1.3. Siempre que los sistemas operativos utilizados lo permitan, deberá controlarse el número de intentos de ingreso fallidos. Luego de tres intentos, deberá bloquearse la cuenta del usuario y no permitir su ingreso al sistema. La cuenta debe estar bloqueada por 30 minutos y el administrador de seguridad podría desbloquearla antes por solicitud del usuario involucrado. 4.1.4. En el caso que el sistema operativo lo permita, se deberán implementar las bitácoras de seguimiento a los accesos, donde se registren los ingresos al sistema y los intentos fallidos. 4.1.5. El responsable por la seguridad revisará periódicamente esta bitácora y reportará a su Jefatura cualquier anomalía que encuentre. La información de esta bitácora debe estar disponible para cualquier autoridad que lo requiera. 4.1.6. La activación y desactivación de usuarios de los sistemas de información estará a cargo del personal técnico del Área de TI. 4.1.7. Para otorgarle acceso a las diferentes aplicaciones del sistema, de acuerdo con las funciones que debe desempeñar el usuario, la jefatura correspondiente deberá hacer la solicitud formal al encargado de seguridad. 4.1.8. En toda transacción que se realice en el sistema se deberá grabar el nombre del usuario, la fecha y la hora en que se realizó.
  • 8. 4.2. AUTENTICACIÓN Aquí se puede utilizar una política de un segundo factor de autenticación, con el objetivo de utilizar claves robustas en el procedimiento de inicio de sesión, en base a dos o más de los factores: algo que tengo (tarjeta de coordenadas), algo que soy (biometría) y/o algo que sé (password). 4.2.1. Las contraseñas deberán tener una longitud mínima de 12 caracteres alfanuméricos (alfabéticos, numéricos y especiales, como por ejemplo %$&/()”!). La longitud depende de la importancia de la información protegida, normalmente de 12-16 caracteres. 4.2.2. Las contraseñas caducarán de forma automática cada 45 días como máximo, y cumplido dicho plazo, el sistema obligará al usuario a cambiar su contraseña. La periodicidad marcada depende del nivel de información protegida, lo habitual es 30-60 días. 4.2.3. Un usuario quedará bloqueado al cabo de x intentos de acceso fallidos. Esta medida protege al sistema frente a ataques de fuerza bruta o muchos intentos fallidos. El número de intentos suele estar entre 2-3. 4.2.4. Los administradores de áreas deben solicitar formalmente la apertura, modificación o cierre de las cuentas de usuario. Cuando sea solicitada una apertura, deben indicar el perfil que se le debe asignar. 4.2.5. El encargado de seguridad informática no cambiará ninguna clave de acceso, si no es por solicitud expresa de su dueño. En caso de ser necesario y a solicitud de la administración se congelarán los accesos de un usuario específico. 4.2.6. El Área de TI establecerá los mecanismos adecuados para el control, verificación y monitoreo de cambios en passwords, número de sesiones activas, seguridad lógica, física de todas las actividades relacionadas con el uso de tecnologías de información. 4.2.7. Para evitar situaciones de peligro, se desactivarán o bloquearán las cuentas de usuario a aquellas personas que estén en vacaciones, con permisos o incapacidades mayores a una semana, para lo cual debe informar la dirección respectiva. 4.3. SOFTWARE Se debe limitar y mantener controlado el uso de programas utilitarios del sistema, los cuales sean capaces de eludir medidas de control del sistema o de las aplicaciones. Para ello se consideran las siguientes políticas para el uso correcto del software. 4.3.1. El Área de TI es la responsable de la instalación de los programas de software en cada una de las computadoras de la Empresa.
  • 9. 4.3.2. Queda completamente prohibido que los usuarios realicen instalaciones de cualquier tipo de software en sus computadoras. De requerir un software específico debe solicitarse al Área de TI para que se valore la necesidad de su instalación. 4.3.3. Todo software que se instale en las computadoras de los empleados deberá contar con su respectiva licencia y su instalación deberá ser autorizada por el Área de TI. 4.3.4. El personal del Área de TI deberá mantener un inventario de software y programas instalados en cada una de las computadoras. Este inventario deberá revisarse y actualizarse una vez al año. 4.3.5. Para la administración y el manejo seguro de la información que se almacena en los computadores y para evitar su utilización por personas no autorizadas, se utilizarán los Sistemas operativos que ofrezcan mayor seguridad, en nuestro caso Linux Centos y Windows XP. 4.4. TIEMPO INACTIVIDAD EN LAS TERMINALES Para las terminales utilizadas por la Organización se debe definir un período de tiempo de inactividad. En áreas públicas o no cubiertas por el sistema de seguridad de la Organización deben ser desactivadas después de que se cumpla el periodo de tiempo de inactividad previamente definido, para impedir el acceso a estas por usuarios no autorizados. 4.4.1. Se otorgara un tiempo limitado de 10 minutos de inactividad de una terminal, posteriormente se procederá al bloqueo correspondiente de la misma. 4.4.2. Por motivos de refrigerios, reuniones cada usuario pondrá el equipo en suspensión con la opción de bloqueo de inicio de sesión, y luego el sistema pida nuevamente una contraseña de usuario para el ingreso, para evitar posibles ingresos de personas cercanas a la empresa (familiares, amigos). 4.4.3. Siempre que sea técnicamente posible, se debe automatizar el procedimiento de bloqueo de identificadores de usuario, en los casos que se refieren a continuación, y según la clasificación de los sistemas ó el perfil de las cuentas afectadas. Dichos procedimientos de bloqueo, se podrían ejecutar en los siguientes casos: Por caducidad de los identificadores. Por inactividad de los identificadores Por intento de acceso fallido, utilizando dicho identificador en más de cinco intentos fallidos. Por baja temporal. Por baja definitiva (lo cual implicará la eliminación del identificador).
  • 10. 4.5. AUTORIZACIÓN Para que exista un correcto control, el acceso a los recursos (ficheros, aplicaciones, bases de datos, sistema operativo, configuración, etc.) debe ser autorizado por los propietarios de los recursos. 4.5.1. Las solicitudes de autorización, serán ejecutadas por los administradores de dichos recursos siguiendo las normativas impuestas por cada Responsable. 4.5.2. Como regla general, los usuarios únicamente tendrán acceso a los recursos necesarios para el ejercicio de sus funciones. Cualquier otro requerimiento al respecto se tramitará siguiendo el circuito de excepciones. 4.5.3. Independientemente del tipo de acceso, interno o externo, dicho acceso debe ser autorizado previamente siempre por el propietario/responsable del recurso. 4.5.4. Los usuarios que requieran acceder a los recursos de los sistemas de información deberán seguir las siguientes pautas: El Responsable del Área de cada usuario, solicitará su requerimiento, mediante una solicitud de autorización con al menos los siguientes datos: o Nombre y apellidos del solicitante. o Fecha. o Sistemas a los que se solicita el acceso, así como el acceso requerido a cada uno. o Motivo de solicitud. o Autorización del propietario del recurso. El Responsable asignado procesará la solicitud cumpliendo las siguientes reglas: o Verificar que la solicitud esté correctamente cumplimentada. o Comprobar que la solicitud y asignación de perfiles, no interfiere con la Política de Seguridad o esquema de segregación de funciones establecidas. 4.5.5. Será responsabilidad de los administradores de sistemas ejecutar solamente aquellas solicitudes que hayan sido autorizadas de acuerdo a los que se indica en el apartado anterior de este procedimiento. 4.5.6. En ningún caso asignarán privilegios y accesos a usuarios sin una solicitud previa. 4.5.7. Deberán resguardar todas las solicitudes tramitadas, y las pondrán a disposición en caso de auditorías internas o externas, así como para el control interno. 4.5.8. En el caso de que se autorice el acceso a recursos por un tiempo determinado, los administradores deberán cuidar que éste se cumpla, eliminando los privilegios en el tiempo establecido.
  • 11. 5. PROCEDIMIENTOS: Para llevar adelante las políticas establecidas por la empresa se emplean los siguientes procedimientos que nos permitirá realizar un trabajo de seguridad eficiente. 5.1. CONTROL DE ACCESO AL SISTEMA OPERATIVO. Para Identificación Automática de Terminales se debería realizar una evaluación de riesgos a fin de determinar el método de protección adecuado para el acceso al Sistema Operativo. Si del análisis realizado surgiera la necesidad de proveer un método de identificación de terminales, se debería redactar un procedimiento que indique: a) El método de identificación automática de terminales utilizado (ver anexos). b) El detalle de transacciones permitidas por terminal. 5.2. PROCEDIMIENTOS DE CONEXIÓN DE TERMINALES. Se debería definir un proceso de conexión seguro, este será diseñado para minimizar la oportunidad de acceso no autorizado. El procedimiento de identificación debería: a) Mantener en secreto los identificadores de sistemas o aplicaciones hasta tanto se halla llevado a cabo exitosamente el proceso de conexión. b) Desplegar un aviso general advirtiendo que sólo los usuarios autorizados pueden acceder a la computadora. c) Evitar dar mensajes de ayuda que pudieran asistir a un usuario no autorizado durante el procedimiento de conexión. d) Validar la información de la conexión sólo al completarse la totalidad de los datos de entrada. Si surge una condición de error, el sistema no debe indicar que parte de los datos es correcta o incorrecta. • Registrar los intentos no exitosos. • Impedir otros intentos de identificación, una vez superado el límite permitido. • Desconectar conexiones de comunicaciones de datos e) Limitar el tiempo máximo permitido para el procedimiento de conexión. Si este es excedido, el sistema debe finalizar la conexión. g) Desplegar la siguiente información, al completarse una conexión exitosa: • Fecha y hora de la conexión exitosa anterior. • Detalles de los intentos de conexión no exitosos desde la última conexión exitosa.
  • 12. 5.3. IDENTIFICACIÓN Y AUTENTICACIÓN DE USUARIO. Se debería asignar a todos los usuarios,un identificador único (ID de usuario) Los identificadores de usuarios no darán ningún indicio delnivel de privilegio otorgado. En circunstancias excepcionales, cuando existe un claro beneficiopara la Empresa, podría utilizarse un identificador compartido para un grupo de usuarios ouna tarea específica. Para casos de esta índole, debería documentarse la justificación y aprobacióndel Propietario de la Información de que se trate. Si se utilizara un método de autenticaciónfísico (por ejemplo autenticadores de hardware), debería implementarse un procedimiento queincluya: a) Asignar la herramienta de autenticación. b) Registrar los poseedores de autenticadores. c) Rescatar el autenticador al momento de la desvinculación del personal al que se leotorgó. d) Revocar el acceso del autenticador, en caso de compromiso de seguridad. Ver anexo. 5.4. SISTEMA DE GESTIÓN DE CONTRASEÑAS. Se debería establecer un sistema de administración de contraseñas, contemplando lo siguiente: a) Imponer el uso de contraseñas individuales para determinar responsabilidades. b) Permitir que los usuarios seleccionen y cambien sus propias contraseñas (luego de cumplido el plazo mínimo de mantenimiento de las mismas) e incluir un procedimiento de confirmación para contemplar los errores de ingreso. c) Imponer una selección de contraseñas de calidad según lo señalado en el punto “Uso de Contraseñas”. d) Imponer cambios en las contraseñas en aquellos casos en que los usuarios mantengan sus propias contraseñas, según lo señalado en el punto “Uso de Contraseñas”. e) Obligar a los usuarios a cambiar las contraseñas provisorias en su primer procedimiento de identificación, en los casos en que ellos seleccionen sus contraseñas. f) Mantener un registro de las últimas contraseñas utilizadas por el usuario, y evitar la reutilización de las mismas. g) Evitar mostrar las contraseñas en pantalla, cuando son ingresadas. h) Almacenar en forma separada los archivos de contraseñas y los datos de sistemas de aplicación.
  • 13. i) Almacenar las contraseñas en forma cifrada utilizando un algoritmo de cifrado unidireccional. j) Modificar todas las contraseñas predeterminadas por el vendedor, una vez instalado el software y el hardware (por ejemplo claves de impresoras, hubs, routers, etc.). k) Garantizar que el medio utilizado para acceder/utilizar el sistema de contraseñas, asegure que no se tenga acceso a información temporal o en tránsito de forma no protegida. Ver anexo. 5.5. USO DE LOS SERVICIOS DEL SISTEMA. a) Utilizar procedimientos de autenticación para utilitarios del sistema. b) Separar entre utilitarios del sistema y software de aplicaciones. c) Limitar el uso de utilitarios del sistema a la cantidad mínima viable de usuarios fiables y autorizados. d) Evitar que personas ajenas a la Empresa tomen conocimiento de la existencia y modo de uso de los utilitarios instalados en las instalaciones informáticas. e) Establecer autorizaciones para uso ad hoc de utilitarios de sistema. f) Limitar la disponibilidad de utilitarios de sistema, por ejemplo durante el transcurso de un cambio autorizado. g) Registrar todo uso de utilitarios del sistema. h) Definir y documentar los niveles de autorización para utilitarios del sistema. i) Remover todo el software basado en utilitarios y software de sistema innecesarios. Ver anexo. 5.6. DESCONEXIÓN AUTOMÁTICA DE TERMINALES. Se debería definir cuáles se consideran terminales de alto riesgo o que sirven a sistemas de alto riesgo. Las mismas se apagarán después de un periodo definido de inactividad, por un lapso que responderá a los riesgos de seguridad del área y de la información que maneje la terminal. Para las PC’s, se debería implementar la desconexión por tiempo muerto, que limpie la pantalla y evite el acceso no autorizado, pero que no cierra las sesiones de aplicación o de red. Por otro lado, si un usuario debe abandonarsu puesto de trabajo momentáneamente, activará protectores de pantalla con contraseñas a losefectos de evitar que terceros puedan ver su trabajo o continuar con la sesión de usuario habilitada.Ver anexo. 5.7. LIMITACIÓN DEL TIEMPO DE CONEXIÓN.
  • 14. Se debería implementar un control de esta índole para aplicaciones informáticas sensibles, especialmente aquellas terminales instaladas en ubicaciones de alto riesgo. Entre los controles que se deben aplicar, se enuncian: a) Utilizar lapsos predeterminados, por ejemplo para transmisiones de archivos en lote, o sesiones interactivas periódicas de corta duración. b) Limitar los tiempos de conexión al horario normal de oficina, de no existir un requerimiento operativo de horas extras o extensión horaria.Ver anexo. c) Documentar debidamente los agentes que no tienen restricciones horarias y las razones de su autorización. También cuando el Propietario de la Información autorice excepciones para una extensión horaria ocasional. Ver anexo. 6. ANEXOS: En este apartado se muestra los procedimientos y manuales con los que la PYME debe contar para mejorar el control de la información que genera dentro de la empresa 6.1. PROCEDIMIENTOS PARA EL CONTROL DE ACCESO A USUARIOS Para iniciar el programa de administración de usuarios y roles de los mismos tiene que acceder al Sistema operativo LINUX CENTOS, donde se tiene instalado el software de control de usuarios: Acceso al sistema operativo LINUX CENTOS Posteriormente el administrador abre el navegador en este caso Mozilla, y coloca el dominio que en este caso es https://localhost:10000 y estable el puerto por el cual se tiene que conectar el administrador, y establece su login y password de administración.
  • 15. Una vez ingresado al sistema se encuentra todas las opciones de configuración y control del software de administración y control de usuarios. 6.2. PROCEDIMIENTO PARA IDENTIFICACIÓN Y AUTENTIFICACIÓN DE LOS USUARIOS En este procedimiento se expresa la forma como los usuarios se registran en el sistema para ello se siguen los siguientes pasos : 1. En el administrador WEBMIN se va a la pestaña Sistema 2. Posteriormente a la opción usuarios y grupos del sistema
  • 16. Una vez registrado el usuario se procede a registrarlo en el WEBMIN para ello se tiene que ir a la pestaña donde dice: Usuarios de webmin Se elige la opción convertir usuarios UNIX a WEBMIN y se selecciona el o los usuarios a asignar en el programa. Figura 6. Clave de acceso de usuarios cifrada. 6.3. PROCEDIMIENTO PARA SISTEMA DE GESTIÓN DE CONTRASEÑAS Para llevar adelante el sistema de gestión de claves de usuarios, el sistema de administración WEBMIN utiliza el software de kerberos que es sistema de generación de claves de acceso de usuarios. Por lo cual una vez asignada una contraseña el software lo encripta esa clave. Figura 7. Clave de acceso de usuarios cifrada.
  • 17. 6.4. PROCEDIMIENTO PARA PRIVILEGIOS DE USUARIOS El administrador WEBMIN es el que permite generar los privilegios de los usuarios, el mismo que son asignados por el administrador de sistemas. 1. Ir a la opción usuarios de WEBMIN 2. Seleccionar el usuario 3. Ir a la opción Available Webmin modules Figura 8. Privilegios de acceso de los usuarios. 6.5. PROCEDIMIENTO PARA INACTIVIDAD DE TERMINALES El WEBMIN es el que permite definir el tiempo de inactividad de las terminales este en caso de vacaciones y salidas de los empleados. Para ello ir a la opción del usuario y seleccionar el usuario correspondiente, les abrirá un ventana en el cual se podrá definir el tiempo de inactividad de la terminal. 6.6. PROCEDIMIENTO PARA LIMITAR EL TIEMPO DE CONEXIÓN El sistema nos permite definir cuanto tiempo estará habilitada la terminal para el acceso de los usuarios.
  • 18. Para ello nos vamos a la pestaña del usuario de webmin y seleccionamos el usuario a establecer el tiempo de actividad de la terminal. 7. INSTRUCTIVOS 7.1. Instalación del Software WEBMIN para LINUX CENTOS en la versión 6.4 final. 1. Lo primero es descargar el paquete de instalación, para ello pueden ir a la dirección: http://downloads.sourceforge.net/project/webadmin/webmin/1.560/webmin-1.560.tar.gz 2. Luego si queremos utilizar webmin tenemos que instalar perl (un lenguaje de programacion usado por webmin) openssl (para acceder a las paginas de webmin de modo seguro) y perl-Net-SSLeay, una extension en perl para el uso de openssl. Instalamos los programas necesarios con el comando (distribucion centos): yum install perl openssl openssl-devel perl-Net-SSLeay 3. Creamos una carpeta donde vamos a instalar webmin mkdir /usr/local/webmin 4. Nos posicionamos en la carpeta /usr/src y escribimos el siguiente comando: cd /usr/src 5. Decomprimimos el programa utilizando el siguiente comando: tar -xf webmin-1.560.tar.gz 6. Procedemos a ingresar a la carpeta creada: cd webmin-1.560 7. Luego iniciamos la instalación ./setup.sh /usr/local/webmin Le damos enter y continúa la instalación
  • 19. Configuramos el número de puerto con el que saldrá en este caso le pusimos 25000 8. En teoría, esto ya está listo. Sin embargo, tenemos nos encontraremos con la siguiente advertencia si accedemos desde Firefox: Advertencia de seguridad de Firefox Para que no nos vuelva a aparecer hacemos clic sobre “O puede añadir una excepción…“ 9. A continuación hacemos clic sobre Añadir excepción…
  • 20. Añadimos la excepción 10. En el siguiente paso hacemos clic sobre Obtener certificado y después sobre Confirmar excepción de seguridad. Obtenemos el certificado y confirmamos la excepción 11. Ahora ya podemos iniciar sesión en Webmin. Como nombre de usuario podemos usar root (si lo tenemos habilitado) o cualquier usuario del sistema con privilegios de administrador.
  • 21. Iniciamos la sesión en Webmin 12. Y así accedemos a la interfaz de Webmin. Página de inicio de Webmin ¿Cómo? ¡Está en inglés! Bueno, tampoco es para tanto pero no vamos a terminar sin cambiar el idioma a español. 13. Para cambiar el idioma hacemos clic sobre Webmin en el menú de la izquierda, después en Webmin Configuration y, por último, sobre Language. Accedemos a la configuración de Webmin
  • 22. 14. Ahora en Display in language seleccionamos Spanish (ES) y hacemos clic en Change Language. Cambiamos el idioma a Spanish (Español) 15. Seguramente veremos parte de la interfaz en español pero no toda pero bastará con pulsar la tecla F5 para actualizar la página. 16. Ya tenemos la interfaz de Webmin en español como podemos comprobar en el menú de la izquierda. 7.2. CONFIGURANDO EL DOMINIO 1. Instalación Samba 4,en una Terminal Centos ejecutamos lo Siguiente yum install git-core git clone git://git.samba.org/samba.git samba-master shutdown -r now //Reiniciamos el Equipo cd samba-master ./configure --enable-debug --enable-selftest Make // compilamos Make Install // Instalamos Samba 2. Creando el Samba Provider, en una terminal ejecutamos: /usr/local/samba/bin/samba-tool domain provision Realm [MYDOMAIN.COM]: WUBI [mi Dominio]: (presionamos Enter) Server Role (dc, member, standalone) [dc]: (presionamos Enter) DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: (presionamos Enter) Administrator password: Contraseña del Dominio Retype password: Contraseña del Dominio Después de terminar nos mostrar lo siguiente: Creating CN=MicrosoftDNS,CN=System,DC=WUBI,DC=com
  • 23. Creating DomainDnsZones and ForestDnsZones partitions Populating DomainDnsZones and ForestDnsZones partitions Setting up sam.ldb rootDSE marking as synchronized Fixing provision GUIDs A Kerberos configuration suitable for Samba 4 has been generated at /usr/local/samba/private/krb5.conf Once the above files are installed, your Samba4 server will be ready to use Server Role: active directory domain controller Hostname: samba NetBIOS Domain: WUBI DNS Domain: wubi.com DOMAIN SID: S-1-5-xx-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxxx shutdown -r now //Reiniciamos el Equipo 3. Iniciamos el SAMBA 4 AD DC # /usr/local/samba/sbin/samba 4. Prueba de Samba como un DC Active Directory, Ejecutamos en una terminal: Verificamos que estamos trabajando con la versión correcta # /usr/local/samba/sbin/samba -V Version 4.1.0pre1-GIT-c1fb37d Verificamos que estamos ejecutando el cliente correcto # /usr/local/samba/bin/smbclient --version Version 4.1.0pre1-GIT-c1fb37d Ejecutamos lo siguiente para listar el Detalle de nuestro dominio # /usr/local/samba/bin/smbclient -L localhost -U% # /usr/local/samba/bin/smbclient -L localhost -U% Domain=[MYDOMAIN] OS=[Unix] Server=[Samba 4.1.0pre1-GIT-c1fb37d] Sharename Type Comment --------- ---- ------- netlogon Disk sysvol Disk IPC$ IPC IPC Service (Samba 4.1.0pre1-GIT-c1fb37d) Domain=[WUBI] OS=[Unix] Server=[Samba 4.1.0pre1-GIT-c1fb37d] Server Comment --------- ------- WUBI Master --------- ------- 5. Configurando el DNS
  • 24. Editamos el archivo /etc/named.conf Incluimos al final del archivo lo siguiente include "/usr/local/samba/private/named.conf"; 6. Instalando y configurando Kerberos En una Terminal Ejecutamos: yum install glibc glibc-devel gcc python* libacl-devel krb5-workstation krb5-libs pam_krb5 Creamos un Backup del archivo de configuración cp /usr/local/samba/share/setup/krb5.conf /etc/krb5.conf Editamos el archivo y ponemos lo siguiente: # gedit /etc/krb5.conf [libdefaults] default_realm = MYDOMAIN.COM dns_lookup_realm = false dns_lookup_kdc = true 7. Testeando Kerberos Utilizamos el comando kinit # kinit administrator@WUBI.COM Password for administrator@WUBI.COM: Warning: Your password will expire in 41 days on Sun Feb 3 14:21:51 2013 7.3. Configurar el cliente Windows al Dominio A continuación describiremos como agregar un cliente Windows al dominio WUBI 1) Haga clic en el icono "Mi PC" y seleccionar "Propiedades" 2) Desde "Configuración avanzada del sistema" clic el panel de la izquierda 3) Seleccione la pestaña "Nombre de equipo" y haga clic en "Cambio ..." 4) Seleccione 'Domain' opción e introduzca WUBI. 5) Cuando se solicita un nombre de usuario y contraseña, escriba "Administrador" como nombre de usuario e introduzca su contraseña. (Contraseña = la contraseña que utilizó cuando se ejecutó el
  • 25. comando 'samba-herramienta provisión dominio'). 6) Usted debe obtener un cuadro de mensaje que indica "Bienvenido al dominio WUBI '. 7) Haga clic en Aceptar en este cuadro de mensaje y la ventana Propiedades y, a continuación, se le indicará que reinicie el equipo. 8) Después de reiniciar debe ser presentado con el cuadro de diálogo de inicio de sesión normal 9) Seleccione el Dominio WUBI y a continuación debe autenticarse con el usuario creado en el Dominio
  • 26. 8. REFERENCIAS BIBLIOGRAFICAS: http://www.centos.org/ http://www.samba.org/samba/docs/ http://www.webmin.com/docs.html http://www.iso27000.es/ http://www.27000.org/iso-27002.htm http://wiki.centos.org/Manuals/ReleaseNotes/CentOS6.3 http://sourceforge.net/projects/vufind/files/VuFind/1.4/vufind-1.4.tar.gz/download http://es.wikipedia.org/wiki/CentOS