La seguridad en las redes también es para SAN: Controles de acceso DAC y RBAC

Discretionary Access Control (DAC) no es forzado por el administrador o por políticas del sistema operativo. En lugar de ello, el acceso es controlado por el “dueño” de un objeto. En un modelo DAC, si un usuario crea una carpeta, él decidirá quién tiene o no acceso a la misma.
DAC se asocia a una lista de control de acceso (ACL, Access Control List). En ACL se mantiene información sobre los derechos de los usuarios a cada objeto en particular del sistema, tal como archivos, directorios o recursos de red. Cada objeto tiene un atributo de seguridad que identifica su lista de control de acceso y, a su vez, la lista tiene un registro para cada usuario con sus privilegios de acceso asociados. Los privilegios más comunes son los de capacidad de lectura de un archivo (o todos los archivos de un directorio), la escritura sobre ellos, y la ejecución del archivo cuando se trata de un programa.
Sistemas operativos como Windows 2000/2003/XP, Linux, UNIX y MAC OS X, son algunos de los que utilizan listas de control de acceso, aunque la implementan en diferentes formas. En Windows NT/2000/2003, la ACL se asocia con cada objeto del sistema. Cada ACL tiene una o más entradas de control de acceso (ACEs, Access Control Entries) en la que están los nombres de usuarios o grupos de usuarios. Los usuarios también pueden tener un nombre según rol, tal como “secretaria” o “investigador.” Para cada usuario, grupo o rol, se establecen los privilegios de acceso en una cadena de bits llamada máscara de acceso. El administrador del sistema o el dueño del objeto son los que suelen crear ACL para un objeto.
En el caso del control de acceso basado en roles (RBAC), la configuración y decisiones de acceso son determinada por los roles que tiene el usuario en la empresa. En toda organización los usuarios de la red tienen roles específicos tales como vendedores, gerentes, secretarias, telemarketers, etc. Los usuarios con roles similares se agrupan y se determina su control de acceso según el rol que tienen frente a la red. Esta estrategia requiere de una profunda comprensión de la forma en que opera cada organización en especial, de la cantidad de usuarios y de su exacta función.
Los derechos de acceso se agrupan por nombre de rol y cada recurso permite acceso a quienes están asociados al rol autorizado. En una escuela, por ejemplo, los profesores pueden acceder a bancos de pruebas, material de investigación, memos y otros. Por otra parte, el personal de administración puede tener acceso a historial de empleados, datos financieros, proyectos y planes, etc.
Aquí se utiliza el principio de “privilegio mínimo” usado en todos los métodos de control de acceso. Cuando alguien ingresa a la organización, se le asigna un rol y se crea una nueva cuenta para esa persona y tendrá los accesos propios de su grupo. RBAC es en realidad una forma de MAC, ya que el criterio es determinado por un administrador y no por quienes crean los objetos.
En nuestro próximo número, nos referiremos a la autenticación, autorización y contabilización como parte de una estrategia de seguridad para redes SAN.