Controlul accesului

Controlul accesului

1. Controlul administrarii conturilor utilizator

Controlul administrarii conturilor de utilizator are ca scop verificarea masurii in care sunt implementate controale adecvate privind procesul de gestionare a sistemului la nivelul conturilor deschise utilizatorilor.

Auditorul va intreprinde urmatoarele activitati:

Documentare privind modul de administrare a conturilor utilizator.

Consulta, in masura in care exista, documentatia privitoare la procedurile de administrare a conturilor deschise utilizatorilor.

Klander L. - Ghidul securitatii sistemelor informatic. Editura ALL EDUCATIONAL Bucuresti 1999.

Solicita administratorului de sistem sau responsabilului cu securitatea lista conturilor de sistem cu scopul de a vedea modul in care acestea sunt structurate.

Stabilirea unui esantion al conturilor ce urmeaza a fi verificate.

Verificarea modului in care sunt gestionate conturile
angajatilor care au parasit societatea.

Culegerea informatiilor privitoare la modul in care sunt gestionate conturile utilizatorilor se realizeaza prin metoda interviului si prin consultarea documentatiei existente.

Din discutia purtata cu administratorul de sistem si cu persoanele responsabile cu securitatea sistemului auditorul va trebui sa se edifice asupra urmatoarelor probleme:

In ce masura sunt cunoscute si aplicate standardele si practicile
cele mai bune in domeniu?

Daca exista definite proceduri pentru administrarea conturilor si
care este continutul acestor proceduri. Auditorul va verifica daca
aceste proceduri asigura:

crearea de noi conturi utilizator;

modificarea conturilor create anterior;

dezactivarea sau stergerea prompta a conturilor angajatilor care au plecat din firma;

modificarea periodica a parolelor de acces;

verificarea periodica a masurii in care drepturile de acces acordate utilizatorilor corespund atributiilor lor de serviciu.

Auditarea crearii conturilor utilizatorilor

În procesul auditarii modului de creare a conturilor utilizatorilor, auditorul va urmari:

Daca la momentul crearii conturilor au existat documentele care sa autorizeze crearea acestora, precizand drepturile de acces ale utilizatorului.

Cat de bine este controlata introducerea unui nou user in sistem si cine are aceasta responsabilitate.

Ce precautii s-au luat impotriva accesului neautorizat printr-un ID implicit, creat de exemplu, la instalarea sistemului de operare.

Modalitatea de atribuire a ID-ului si parolelor de acces. În acest sens auditorul va urmari daca exista o conventie privitoare la structura ID si daca aceasta este respectata.

Auditorul va urmari respectarea unicitatii ID-ului si a parolelor si masura in care procedura de logare a utilizatorului impune precizarea atat a ID-ului cat si a arolei.

Procedurile de creare a unui nou cont de utilizator pot prevedea termene de valabilitate foarte scurte ale parolelor initial atribuite. Astfel, la prima logare a utilizatorului acesta va putea inlocui parola in initiala cu una personalizata. Se asigura astfel o diminuare a riscului de acces neautorizat la reteaua interna.

3. Controlul administrarii parolelor

Adoptarea unei bune politici privitoare la parolele de identificare ale

utilizatorilor este una dintre cele mai importante bariere impotriva

accesului neautorizat.

Controlul administrarii parolelor urmareste:

În ce masura administrarea parolelor se realizeaza in concordanta cu standardele si politicile existente. Respectarea prevederilor cuprinse in aceste norme cresc increderea in protectia realizata cu ajutorul parolelor impotriva accesului neautorizat.

In ce masura sunt aplicate restrictiile referitoare la sintaxa parolelor in conformitate cu standardele si politicile cunoscute. Auditorul va analiza urmatoarele aspecte:

- Care sunt restrictiile privitoare la lungimea si sintaxa parolelor? Restrictiile de sintaxa, ca si lungimea stabilita a parolei, au rolul de a diminua substantial riscul intruziunii in retea.
Restrictiile de sintaxa privesc: combinatiile de caractere, litere si cifre, utilizate, limitari ale utilizarii repetate a aceluiasi caracter, structura posibila a parolei. Se poate opta, spre exemplu, pentru un numar fix de litere si cifre sau structurarea parolei in doua componente, o parte fixa si una variabila.

In ceea ce priveste lungimea parolei aceasta poate fi de 6 caractere in cazul utilizatorilor comuni si 8 caractere pentru utilizatorii privilegiati.

- Se respecta unicitatea parolelor? Exista restrictii
privitoare la posibilitatea de a refolosi o anumita parola? in acest
sens se va verifica daca exista un registru al parolelor care sa ofere
un istoric al acestora.

- Existenta unor restrictii referitoare la durata de viata a
parolelor. Este de dorit ca pentru conturile privilegiate durata de
viata a parolelor sa fie mai scurta (30 de zile) decat a celor folosite
in cazul conturilor utilizatorilor comuni (60 de zile). Totodata se
recomanda ca utilizatorii sa dispuna de ID-uri si parole diferite pentru logarea la retea si respectiv la accesarea softweare-ului prin care isi realizeaza sarcinile de serviciu.

- Cat de protejat este fisierul sistem continand parolele de acces?

Se procedeaza la criptarea acestor fisiere?

Desi regulile de securitate privind parolele sunt stricte si utilizatorii sunt atentionati asupra riscurilor decurgand din nerespectarea lor riguroasa analizele evidentiaza o ingrijoratoare lejeritate a utilizatorilor in alegerea parolelor. Un recent sondaj efectuat de Visa Europa arata ca la 21% dintre repondenti parola aleasa este o porecla, 15% au ales numele animalului preferat, 14% numele unui membru al familiei, iar 7% folosesc date istorice importante. Alegerea drept parola a unui cuvant uzual nu este nici ea o solutie recomandata. Un program specializat in spargerea de parole (password cracker) are nevoie de mai putin de 10 secunde pentru a rula un dictionar de 100.000 de cuvinte! O parola sigura are o lungime de 8-10 caractere, combinatii de majuscule, minuscule, cifre si chiar semne speciale (ex. Vio-ReL23). Green Book ofera recomandari foarte precise legate de modul de definire a politicii pe segmentul parolelor. De aceea auritorul va urmari modul in care aceste recomandari au fost urmate si anume⁴:

- Nu este admisa utilizarea parolelor implicite.

- Parolele nu trebuie sa fie vizibile in momentul tastarii.

Green Book - Password management Guideline. American Department of Defense.

Recomandarile privitoare la sintaxa si durata de viata a parolelor, prezentate in

Se recomanda ca parolele sa fie astfel alese incat sa fie usor de tastat de catre utilizator astfel incat un observator sa nu poata vedea parola in momentul introducerii de la tastatura.

Nu este permisa divulgarea parolelor intre utilizatori (spre exemplu de multe ori un utilizator lasa colegului de birou, care ii preia sarcinile in perioada zilelor de concediu, propria parola).

Se recomanda ca administratorul sa nu partajeze propria parola cu alti utilizatori.

Utilizatorii trebuie instruiti asupra modului de alegere a parolei si constientizati asupra pericolului spargerii parolelor.

Utilizatorii nu pot avea acces la fisierele care stocheaza parolele.

Un utilizator nu poate schimba parola altui utilizator.

Solicitarea automata de schimbarea parolei la primul logon al utilizatorului.

Se recomanda ca periodic cu ajutorul programelor special elaborate sa se identifice parolele nesigure.

4. Controlul configurarii profilelor pentru utilizatori sau grupuri de utilizatori

Auditorul va analiza urmatoarele probleme:

Configurarea profilelor utilizatorilor s-a realizat in conformitate cu standardele existente in domeniu?

Privilegiile si drepturile de acces sunt acordate individual fiecarui cont utilizator sau sunt definite la nivelul grupului urmand a fi repartizate apoi utilizatorilor din cadrul grupului? În acest context se va urmari cat de bine este definita structura ID-ului de grup si alocarea utilizatorilor pe grupuri.

Existenta definitiilor standard de acces in functie de grupuri. Se realizeaza prin profilele definite restrictionari ale accesului utilizatorilor la aplicatii?

Auditorul va verifica masura in care drepturile de acces acordate utilizatorilor corespund atributiilor posturilor acestora. Totodata se va verifica masura in care are loc reevaluarea periodica a drepturilor de acces ale utilizatorilor, masura in care departamentul de resurse umane transmite informatii privind: transferurile de personal in cadrul companiei, modificarile responsabilitatilor in cadrul posturilor, plecari de angajati din firma. Auditorul va verifica cine este raspunzator de controlul asupra autorizarii si masura in care managementul verifica periodic executarea acestor controale.

Auditorul va trebui totodata sa raspunda si la urmatoarele intrebari:

Sunt dezactivate sau chiar sterse in timp util conturile angajatilor care au parasit firma?

Ce verificari periodice se desfasoara pentru identificarea conturilor inactive si minimizarea riscului accesului neautorizat pin aceste conturi?

Care este intervalul de timp ales pentru a considera contul inactiv?

De obicei se considera ca in cazul neutilizarii contului mai mult de 90 de zile acesta poate fi considerat inactiv si trebuie luate masurile necesare de stergere a contului.

În cazul in care sunt definite profile la nivelul grupului de utilizatori auditorul va solicita administratorului de sistem o lista cu profilele definite si va analiza:

Criteriile care au stat la baza definirii grupurilor de utilizatori si utilitatea acestor grupuri.

Verificarea privilegiilor stabilite si a drepturilor de acces acordate grupurilor.

Certificarea faptului ca fiecare cont de utilizator este atasat in mod corect grupului, iar drepturile de acces si privilegiile corespund responsabilitatilor aferente postului ocupat.

5. Controlul conturilor privilegiate

Controlul conturilor privilegiate are ca obiectiv verificarea autorizarii, acordarii si utilizarii conturilor privilegiate. Auditorul va proceda la:

Obtinerea de informatii privitoare la crearea si utilizarea conturilor privilegiate prin dialogul purtat cu administratorul de sistem.

Solicitarea unei liste curpinzand totalitatea conturilor privilegiate existente.

Solicitarea listei cuprinzand grupurile de conturi privilegiate existente.

Auditorul va verifica:

Daca     configurarea conturilor privilegiate s-a realizat in conformitate cu standardele in domeniu.

Daca numarul conturilor privilegiate nu este supradimensionat in raport cu marimea retelei si natura responsabilitatilor utilizatorilor in cadrul retelei.

Unicitatea parolelor definite pentru conturile utilizatorilor privilegiati la nivelul serverelor.

Daca administratorii de retea se conecteaza la sistem prin conturi privilegiate sau dispun de conturi exclusive.

Nivelul de adecvare a drepturilor asociate conturilor privilegiate.

Derularea unui control periodic asupra drepturilor de acces atasate conturilor privilegiate.

Cum este folosit jurnalul conturilor administratorilor de sistem.

Cat de des se schimba parolele administratorilor de sistem.

Cum sunt folosite jurnalele conturilor privilegiate.

Masura in care sunt utilizate corespunzator conturile privilegiate implicite - administrator pentru NT, roor pentru UNIX spre exemplu si masura in care se monitorizeaza aceste conturi.

Cum este solutionata problema conturilor privilegiate apartinand unor utilizatori care au plecat din firma.

Existenta documentatiei privind procedurile de acordare, creare si utilizare a conturilor privilegiate.

În cazul existentei unor grupuri privilegiate auditorul va analiza
motivatia crearii acestor grupuri si corecta dimensionare a numarului de
conturi privilegiate componente.

6. Controlul proceselor de conectare si deconectare

În cadrul controlului proceselor de conectare si deconectare auditorul va verifica daca:

Exista controale automate adecvate pentru limitarea numarului de

incercari nereusite de conectare la contul unui utilizator?

De obicei, numarul de incercari este limitat la trei.

Sunt prevazute in procedura de logare mesaje de atentionare privind tentative de acces neautorizat.

Exista implementate controale pentru verificarea faptului ca logarea se realizeaza de la calculatorul la care are accesutilizatorul conform procedurii fixate.

Sistemul a fost configurat sa nu permita conectari simultane folosind acelasi cont de utilizator.

În ce masura utilizatorii sunt limitati sa se log-eze in anumite zile din saptamana.

Sistemul a fost configurat ca dupa o anumita perioada de inactivitate inregistrata la calculatoarele din retea sa se declanseze automat procedura de logout. Acest lucru este necesar pentru a limita riscul ca o persoana neautorizata sa foloseasca contul deja accesat considerandu-se ca inactivitatea inregistrata pe calculatorul respectiv timp de 15 minute indica lipsa utilizatorului care a initiat sesiunea de lucru.

O problema importanta legata de securitatea conturilor utilizator este reprezentata de posibilitatea oferita utilizatorului, titular al contului, de a realiza controlul propriului cont.

Auditorul poate verifica daca sistemul permite utilizatorului ca in momentul accesarii contului sa obtina informatii privind:

Data si ora la care contul a fost ultima data accesat;

Durata sesiunii de lucru la ultima accesare;

Principalele operatii realizate;

Încercarile nereusite de accesare a contului (numarul tentativelor si eventual data lor).

Daca aceste informatii i-ar fi oferite utilizatorului la accesarea contului el ar putea controla activitatea propriului cont semnaland eventualele intruziuni.

7. Controlul procesului de pornire a sistemului

Controlul procesului de pornire a sistemului urmareste verificarea masurii in care sunt respectate si monitorizate procedurile de pornire a sistemului.

Auditorul va culege informatiile necesare privind procedurile de pornire de la administratorul de sistem sau de la responsabilul cu securitatea. In procesul de auditare se va verifica masura in care se realizeaza un control al modului de desfasurare a procesului de pornire a sistemului si nivelul de securizare la nivelul acestui proces.

8. Controlul accesului de la distanta

Controlul accesului de la distanta impune auditorului abordarea a doua probleme diferite:

- controlul retelei/accesul dial-up

- controlul conexiunilor externe la retea.

Pentru prima problema enuntata auditorul va trebui sa raspunda la urmatoarele intrebari:

Cum se realizeaza autentificarea conectarilor de la distanta?

În cazul retelelor mari, sunt ele organizate pe domenii distincte?

În cazul retelelor partajate, mai ales daca acestea se extind in afara organizatiei, ce controale sunt implementate pentru a se verifica faptul ca utilizatorii acceseaza doar portiunile de retea pentru care sunt autorizati?

Sunt protejate transmisiile in retea? Cum se realizeaza aceasta
protectie?

În ce masura disponibilitatea facilitatilor dial-up este restrictionata la anumite momente de timp?

Ce controale se folosesc pentru diagnosticul porturilor?

Cand misiunea de audit impune verificarea modului in care se realizeaza controlul conexiunilor externe la retea, auditorul va trebui sa gaseasca raspunsuri la urmatoarele intrebari:

Conexiunile externe sunt folosite pentru scopuri valide impuse de activitatea din cadrul organizatiei?

Exista controale care sa previna realizarea unor conexiuni care ar putea submina securitatea sistemului? Sa nu uitam nevinovatele navigari ale angajatilor pe Internet fie in cautarea unor informatii de interes personal fie doar pentru deconectare sau pentru a-si 'omori timpul'. Ele pot reprezenta mici bombe cu efect intarziat: risc potential de atac prin virusi, deconspirarea adreselor IP, adresele retelelor si routerelor intermediare spre o tinta, informatii despre utilizatorii unui calculator (login, numar de telefon, data ultimei conectari etc).

- Ce controale exista pentru a preveni navigarea neproductiva pe Internet a personalului in afara sarcinilor de serviciu?

- Cat de bine este protejat gateway-ul dintre Internet si mediul firmei?

- Ce controale exista pentru a preveni accesarea unor site-uri inadacvate?

- Cat de bine sunt protejate conexiunile externe ale retelei pentru folosirea EDI si EFT?