Arquitectura y Modelos de Seguridad - Seguridad en...

Arquitectura y Modelos de Seguridad

Arquitectura y Modelos de SeguridadSeguridad en Informatica

Francisco Medina Lopez

Facultad de Contadurıa y AdministracionUniversidad Nacional Autonoma de Mexico

20 de septiembre de 2011


Agenda

1 Arquitectura de Computadoras

2 Mecanismos de Proteccion

3 Modos de Seguridad

4 Modelos de Seguridad

5 Guıas de Evaluacion

6 Certificacion y Acreditacion

7 Amenazas y Ataques


Arquitectura de Computadoras

1 Arquitectura de ComputadorasIntroduccionHardwareFirmwareSoftware









Introduccion










Introduccion

Arquitectura y Sistema de Computo


Disciplina de la Ingenierıa, relacionada con el diseno y laconstruccion de sistemas de computo a nivel logico.

Arquitectura de Computo

Comprende la estructura de un sistema de computo.

Sistema de Computo

Conjunto formado por hardware, firmware, software, medios dealmacenamiento, datos o informacion y personas involucradas.



Introduccion


La Arquitectura de Computadoras comprende todas y cada una delas partes necesarias para que un sistema de computo funcione,esto incluye:

Sistema Operativo

Chips de Memoria

Circuitos

Discos Duros

Componentes de Seguridad

Conexiones Bus

Componentes de Red

Etc.



Introduccion

Computadora vs Servidor

Computadora

Maquina digital programable.

Servidor

En una red cliente/servidor, son los equipos que proveeninformacion (datos) y servicios (impresion de documentos,transferencia de archivos, correo electronico,...) a las estaciones detrabajo (clientes).



Hardware










Hardware

Hardware

Definicion

Conjunto de componentes tangibles (o fısicos) de unacomputadora. a

ahttp://www.carlospes.com/minidiccionario/hardware.php

Componentes principales de la plataforma de hardware en laArquitectura de Computadoras:

CPU (Unidad Central de Procesamiento)

Memoria

Bus de conexiones

Dispositivos de Entrada/ Salida (I/O)

Dispositivos de Almacenamiento

http://www.carlospes.com/minidiccionario/hardware.php



Hardware

CPU

Unidad Central de Proceso (CPU)

Tambien conocido como procesador, es el componente en unacomputadora digital que interpreta las instrucciones y procesa losdatos contenidos en los programas de la computadora. a

ahttp://es.wikipedia.org/wiki/Unidad_central_de_procesamiento

Contiene:

1 Almacenamiento primario (Registros)

2 Unidad de Control (UC)

3 Unidad de Aritmetico Logica (ALU)

4 Unidad de Administracion de Memoria (MMU)

http://es.wikipedia.org/wiki/Unidad_central_de_procesamiento



Hardware

Componentes principales del CPU

1 Almacenamiento primarioRegistros1 que almacenan instrucciones y datos que van a serprocesados

2 Unidad de ControlCoordina la actividad durante la ejecucion de instrucciones deun programaNo procesa datos, solo controla los procesos que se estanejecutando

3 Unidad de Aritmetico LogicaRealiza operaciones matematicas y logicas

4 MMUManipula direcciones y catalogos de datos almacenados enmemoria ademas de convertir las direcciones logicas en fısicas

1Memoria intermedia



Hardware

Caracterısticas principales de un Procesador

Reducido SET de instrucciones

MIPS (Millones de Instrucciones por Segundo)



Hardware

Estructura interna de un Procesador

UC (Unidad de Control): La Unidad de Control es laencargada de gestionar y controlar el correctofuncionamiento de la Unidad de Proceso, indicandocuando una instruccion debe ser enviada alprocesador. La UC no procesa datos, tan solo actuacomo agente de transito.

UP (Unidad de Proceso): Formada por componentestales como: la ALU, Registros, y buses.

ALU (Unidad Aritmetico-Logica): Encargada dellevar a cabo funciones matematicas y operacioneslogicas.

Registros: Almacenan datos durante cierto tiempo,dentro la CPU.

Bus: Conjunto de circuitos y conectores

”Podrıamos decir que la ALUes el cerebro del procesador, yel procesador el cerebro de la

computadora.”



Hardware

Operacion Basica de un Procesador

La operacion de un procesador consiste basicamente en dosfases: obtener (fetch) y ejecutar (execute).

Durante la fase de obtencion, la CPU localiza y recupera lasinstrucciones de memoria.Durante la fase de ejecucion, la CPU decodifica y ejecuta lasinstrucciones.

Estas dos fases componen lo que se llama ciclo de reloj (clocksingals).

A los programas ejecutados por el procesador se llamanprocesos.



Hardware

Estados del procesador

La CPU, se encuentra siempre en alguno de los siguientes estadosprincipales:

User State En este estado, solo pueden ser ejecutadasinstrucciones no- privilegiadas.

Supervisor State / Privileged Mode En este estado,pueden ser ejecutadas tanto instrucciones no-privilegiadascomo privilegiadas.



Hardware

Procesos

Un proceso es un programa en ejecucion, el cual se encuentracompuesto de codigo ejecutable, datos e informacion relativasu ejecucion.

Un proceso trabaja en su propio espacio de direcciones ypuede comunicarse con otros procesos, solo a traves de pasosautorizados por el sistema operativo.

Los “estados de un proceso” no es lo mismo que los “estadosde la CPU”. Mientras que los “estados de la CPU” define elmodo operativo de la CPU, los “estados de un proceso” serefiere al modo en que los procesos se encuentran corriendodentro de esta.

El estado de los procesos o “Process State”, es particular decada sistema operativo. Ready, Waiting, Running y Stoppedson solo algunos de los estados mas comunmente encontrados.



Hardware

Procesos vs Hilos

Un proceso es un programa en ejecucion que posee su propioespacio de trabajo, y solo puede comunicarse con otro proceso demodo controlado.

Un Thread en cambio, representa una pieza de codigo que estasiendo ejecutada dentro de un proceso.

Un proceso puede incluir uno o mas Threads.



Hardware

Estados de un proceso

DetenidoEl proceso no se encuentra en ejecucionPudo haber sido detenido por el sistema operativo o un usuario

En esperaEl proceso se encuentra esperando por una interrupcion(generalmente de IO) que le permita ser de nuevo procesadopor la CPUEstas interrupciones permiten compartir el tiempo deprocesamiento de la CPU

En ejecucionLas instrucciones del proceso estan siendo ejecutadas por laCPUSe le conoce tambien como tiempo de ejecucion

ListoEl proceso listo para ser utilizado y a la espera de unainstruccion



Hardware

Estados de un proceso



Hardware

Disenos de CPU

Actualmente existen dos tipos de disenos ampliamente extendidos:

Complex-Instruction-Set-Computing (CISC): Conjunto deinstrucciones que se caracteriza por ser muy amplio y permitiroperaciones complejas entre operandos situados en lamemoria o en los registros internos

Reduced-Instruction-Set-Computing (RISC): Filosofıa dediseno de CPU que esta a favor de conjuntos de instruccionespequenas y simples que toman menor tiempo para ejecutarse.

Cuando se ejecuta un programa difıcil, o extenso, los CISC son masrapidos y eficaces que los RISC. En cambio cuando se tiene en

ejecucion un conjunto de instrucciones sencillas, cortas y simples,los RISC son mas rapidos.



Hardware

Caracterısticas de la CPU

Scalar Processor: Procesador que ejecuta una instruccionpor vez.

Superscalar Processor: Procesador que permite la ejecucionde varias instrucciones en la misma etapa del pipeline, comoası tambien en diferentes etapas de pipeline. (IBM RS/6000)

Multitasking: Ejecucion de dos o mas tareas al mismotiempo utilizando un solo CPU. Coordinado por el SO(Windows 2000, Linux, OS/3



Hardware

Caracterısticas de la CPU (II)

Multiprogramming: Ejecucion simultanea de dos o masprogramas utilizando un solo CPU.

A diferencia de lo que ocurre con Multitasking, cuyaimplementacion suele encontrarse en sistemas operativos dePC tales como Linux y Windows, Multiprogramming sueleencontrarse generalmente en mainframes o sistemas legacy.2

Multitasking es normalmente coordinado por el sistemaoperativo, mientras que Multiprogramming requiere que elsoftware se encuentre especialmente escrito para coordinar suspropias acciones a traves del sistema operativo.

2Un sistema heredado (o sistema legacy) es un sistema informatico (equipos informaticos y/o aplicaciones) que

ha quedado anticuado pero continua siendo utilizado por el usuario (tıpicamente una organizacion o empresa) y nose quiere o no se puede reemplazar o actualizar de forma sencilla.



Hardware

Caracterısticas de la CPU (III)

Multiprocessing: Ejecucion simultanea de dos o masprogramas en multiples CPUs.

SMP (Symmetric Multiprocessing) Una computadora, conmas de un procesador, controlado por un solo sistemaoperativo (Bus de Datos y Memoria Compartidos).

MPP (Massively Parallel Processing) Cientos o miles deprocesadores, cada uno de los cuales utiliza su propio juego derecursos (sistema operativo, bus de datos y memoria).



Hardware

Caracterısticas de la CPU (IV)

Multithreading: Ejecucion de multiples tareas al mismotiempo utilizando un solo CPU. A diferencia de lo que ocurrecon Multitasking donde las diferentes tareas ocupan diferentes“procesos”, Multithreading permite ejecutar varias tareas enun solo “proceso”.

Quizas un buen ejemplo de Multithreading, sea cuandoabrimos varios documentos de Word, lo cual no generamultiples instancias de Word, precisamente porque todas ellascorren en un solo proceso utilizando diferentes hilos.



Hardware

Memorias

Cache

Flash Memory

RAM (Random Access Memory)Dynamic Random Access Memory (DRAM)Extended Data Output RAM (EDO RAM)Synchronous DRAM (SDRAM)Double Data Rate SDRAM (DDR SDRAM)Burst Extended Data Output DRAM (BEDO DRAM)

ROM (Read Only Memory)Programmable Read Only Memory (PROM)Erasable Programmable Read-Only Memory (EPROM)Electrically Erasable Programmable Read-Only Memory(EEPROM)



Hardware

Memorias (II)

Memoria Primaria (Real Memory – Primary Storage)Directamente accesible por la CPU y frecuentemente utilizadaal momento de almacenar datos e instrucciones asociados conel programa que se encuentra en ejecucion. GeneralmenteRAM.

Memoria Secundaria (Secondary Storage)Almacenamiento no volatil, mas lento que la memoriaprimaria. Ejemplo: Discos Duros, CDs, DVDs, Floppys.

Memoria Virtual (Virtual Memory – Virtual Storage)Combinacion de memoria primaria y secundaria. Define ununico espacio de direccionamiento. Habilidad para extender eltamano aparente de la memoria RAM usando parte del discorıgido. (Swapping / Paging)



Hardware

Jerarquıa de acceso a memoria



Hardware

Direccionamiento de Memoria

Cuando se utilizan recursos de memoria, el procesador debetener alguna forma de referirse a los diferentes lugaresexistentes dentro de ella. La solucion a este problema, seconoce como “Direccionamiento” por su termino en ingles“Addressing”.

Tipos:

Por Registro (Register Addressing)Directo (Direct Addressing)Absoluto (Absolute Addressing)Indexado (Indexed Addressing)Implıcito (Implied Addressing)Indirecto (Indirect Addressing)



Hardware

Proteccion de Memoria

Previene el acceso de un programa al espacio de memoriareservado para otro programa

Se implanta a nivel de sistema operativo o hardware



Hardware

Estructura de E/S

Input/Output (I/O) interface adapters: Permiten lacomunicacion entre el procesador y los dispositivos externos

Memory-Mapped I/O: Se otorga una direccion de memoria“central” al dispositivoIsolated I/O: Una senal especial en el bus de comunicacionindica la ejecucion de una operacion de I/O. No utilizamemoria “central”Direct Memory Access (DMA): Data es transferida enforma directa desde y hacia la memoria, no requiere del CPUInterrupt Processing: Una senal externa interrumpe el flujonormal del programa para requerir servicio



Hardware

Bus

Bus: Circuitos impresos (o bien cables) que transmiten losdatos del procesador.

de transmision de datos: lıneas fısicas por donde circulan losdatos que se han leıdo o que se van a escribir (entrada/salida).de direcciones: lıneas fısicas por donde circulan lasdirecciones de memoria desde donde se leeran (entrada), o seescribiran (salida), los datos.de control: lıneas fısicas por donde circulan las ordenes decontrol (entrada/salida).



Firmware










Firmware

Firmware

Defincion

Bloque de instrucciones de programa para propositos especıficos,grabado en una memoria de tipo no volatil (ROM, EEPROM,flash,...), que establece la logica de mas bajo nivel que controla loscircuitos electronicos de un dispositivo de cualquier tipo.

Al estar integrado en la electronica del dispositivo es en partehardware, pero tambien es software, ya que proporciona logica y sedispone en algun tipo de lenguaje de programacion. 3

3http://www.carlospes.com/minidiccionario/software.php

http://www.carlospes.com/minidiccionario/software.php



Software










Software

Definicion

Software

Conjunto de programas y datos con los que trabaja unacomputadora el cual es inmaterial (o logico).a

ahttp://www.carlospes.com/minidiccionario/software.php

http://www.carlospes.com/minidiccionario/software.php



Software

Clasificacion del Software

1 Programas de sistema (software de sistema):controlan laoperacion de la computadora.

CompiladoresSistema Operativo

2 Programas de aplicacion (software de aplicacion): resuelvenproblemas para los usuarios.

RDBMSSistemasJuegos



Software

Sistema Operativo

Sirve de intermediario (interfaz) entre los programas y lacomputadora. Se puede definir de dos formas ligadas a susobjetivos.



Software

Sistema Operativo (II)

Software principal de toda plataforma de computo.

Este es cargado en la computadora por medio de un programadenominado Boot, nombre con el que solemos referirnos alproceso responsable de la carga del sistema operativo.

Grandes computadoras o mainframes, utilizan una secuenciaboot conocida como IPL (Initial Program Load).

Durante toda secuencia de booteo, un pequeno programa escargado en memoria, el cual una vez inicializado realiza lacarga total del sistema operativo.

Una vez en ejecucion, el sistema operativo es el responsablede controlar varios subsistemas tales como las utilidades desoftware, aplicaciones, sistemas de archivos, control de acceso,etc.



Software

Sistema Operativo (III)

Todo sistema operativo persigue dos objetivos principales:

Controlar el uso de los sistemas y recursos.

Proveer de una interfaz entre usuario y computador (maquinaextendida)

Como administrador de recursos

Es el encargado de proporcionar una asignacion ordenada ycontrolada de los recursos (CPU, memoria y disco) para los variosprogramas que compiten por ellos.

Como maquina extendida

Es el encargado de presentar al usuario el equivalente de unmaquina virtual o extendida que sea mas facil de programar que elhardware subyacente.



Software

Sistemas Abiertos y Cerrados

Los sistemas pueden ser desarrollados de forma tal de que resultesencilla su integracion con otros sistemas (Open), o pueden serdesarrollados con una naturaleza mas propietaria (Closed)construidos para funcionar solo con un sub-grupo de otros sistemaso productos



Software

Sistemas Abiertos y Cerrados (II)

Sistema Abierto

Aquel sistema independiente del fabricante que cumple con ciertosestandares publicos y generalmente aceptados.

Promueven la interoperabilidad y compatibilidad entresistemas y componentes fabricados por distintos fabricantes.

Pueden ser evaluados de manera independiente.

Sistema Cerrado

Aquel que usa hardware/software propietario que puede o no sercompatible con otros sistemas o componentes.

El codigo fuente de los programas generalmente no esta adisposicion del publico.



Software

Hardware, Firmware y Software


Mecanismos de Proteccion


2 Mecanismos de ProteccionTrusted Computing Base (TCB)Monitor de ReferenciaKernel de SeguridadProtection RingsLayeringData Hiding








Trusted Computing Base (TCB)











Definiciones


Base segura o fiable de computo (TCB)a es la combinacion detodos mecanismos de proteccion en un sistema de computo,incluyendo hardware, firmware y software, responsables deaplicar una polıtica de seguridadb.

aTermino acunado en el libro naranja formalmente conocido como (TrustedComputer System Evaluation Criteria (TCSEC))

bhttp://www.rediris.es/cert/doc/unixsec/node36.html

http://www.rediris.es/cert/doc/unixsec/node36.html



Monitor de Referencia











Definiciones


Es un modelo abstracto que define las reglas de acceso de unsujeto a un objeto.

Controla el acceso de sujetos (Subject, Sujeto, Asunto,Personas) a recursos (Object, Objeto, Informacion).

Concepto abstracto, implementado en Security Kernel.



Kernel de Seguridad










Kernel de Seguridad

Definiciones

Kernel de Seguridad

Parte del TCB que implementa y asegura el concepto delReference Monitor. Se compone de hardware, firmware y software.Analiza todos los intentos de acceso de los sujetos a los objetos.Es responsable por mediar entre los accesos de sujetos a objetos;estar protegido de modificaciones; ser verificable como correcto.

Pequerimientos para el Kernel Seguro

Aislamiento del proceso.

Intermediario. Imposible de esquivar.

De funcionamiento verificable.

Pequeno para ser verificado en su totalidad en forma confiable.

Kernel de Windows Vista

http://technet.microsoft.com/es-mx/magazine/2007.02.vistakernel.aspx



Kernel de Seguridad

Kernel Seguro



Protection Rings










Protection Rings

Definiciones

Protection Domain

Conjunto de objetos que un sujeto es capaz de acceder. Losdominios deben ser identificados, separados y asegurados.

Security Perimeter

Lınea que separa el TCB del resto del sistema (Todos loselementos que se encuentra mas alla del control de TCB se losdenomina externos al perımetro de seguridad).

Resource Isolation

Principio que dicta que sujetos, objetos y controles; debenencontrarse correctamente aislados unos de otros. Requerimientobasico de toda arquitectura y modelo de seguridad.



Protection Rings

Protection Rings

Se organizan con el dominio mas privilegiado localizado en elanillo del centro y el de menor privilegio en el anillo masalejado del mismo.

En el anillo 0 usualmente se encuentra el “Kernel” del sistemaoperativo.

Un sujeto en el anillo 3, no puede acceder directamente unobjeto situado en el anillo 1, pero un sujeto en el anillo 1 sipuede acceder directamente un objeto situado en el anillo 3.

Las entidades, solo pueden acceder objetos dentro de supropio anillo o a uno superior.



Protection Rings

Protection Rings (II)

Anillo 0: Kernel/Memoria(Componentes Residentes)

Anillo 1: Otros componentes delsistema operativo

Anillo 2: Controladores,Protocoles, etc

Anillo 3: Programas yAplicaciones de Nivel Usuario

Anillo 0-2: Modo supervisor oprotegido

Anillo 3 Se ejecuta en modousuario



Layering










Layering

Definicion



Data Hiding










Data Hiding

Definicion

Data Hiding

Importante caracterıstica de la seguridad multinivel.

Este principio asegura que los datos existentes en un nivel deseguridad, no son visibles a procesos que se ejecutan en unnivel diferente.

El concepto clave detras de Data Hiding, es el de asegurar quequienes no tengan Need-to-Know respecto del detalleinvolucrado en el acceso y procesamiento de datos en undeterminado nivel, no tenga forma de deducir, observar uaprender el mismo.


Modos de Seguridad



3 Modos de SeguridadAntecedentesDedicated Security ModeSystem High Security ModeMulti-Level Security Mode (MLS)Compartmentalized Security Mode (Partitioned)






Modos de Seguridad

Antecedentes









Modos de Seguridad

Antecedentes

Historia

Historicamente, los requerimientos de seguridad han sidosatisfechos por medio del uso contramedidas relacionadas conaspectos fısicos, de las personas, y de la informacion en simisma.

Con los avances en tecnologıa, es posible implementarcontramedidas, ya no solo en el entorno, sino tambien en elmismo sistema.

El gobierno de los EEUU ha designado cuatro modos deseguridad a partir de los cuales puede ser posible procesarinformacion clasificada.

El modo de operacion, describe las condiciones de seguridadbajo las cuales el sistema realmente debe funcionar.


Modos de Seguridad

Antecedentes

Clasificacion de la Informacion

Un sistema puede operar en diferentes modos, dependiendo dela sensibilidad de los datos que en el mismo han de serprocesados, el nivel de separacion de los usuarios (ClearanceLevel/Clasificacion de la Informacion) y lo que estos usuariosse encuentran en condiciones de hacer.

El nivel o modo de seguridad de computo requerido en unsistema, depende de la evaluacion del riesgo y la naturalezadel entorno.


Modos de Seguridad

Antecedentes

Need to Know

Definicion

Need to Know Access (Otorgar acceso solo a lo necesario) es unesquema de autorizacion de acceso, en el cual los derechos deacceso a un objeto por parte de un sujeto, son otorgados tomandoen consideracion, no solo el nivel de privilegio que el mismo posee,sino tambien la relevancia del dato involucrado en la tarea que elsujeto debe realizar.

Need to Know indica que el sujeto requiere acceso al objeto afin de poder realizar su trabajo.

Aun teniendo el nivel de privilegio adecuado, quienes notengan Need to know, no deben ser capaces de acceder elobjeto en cuestion.


Modos de Seguridad

Dedicated Security Mode









Modos de Seguridad

Dedicated Security Mode

Definicion

Modo de Seguridad Dedicado

Todos los usuarios estan autorizados y tienen “need-to- know” dela informacion que es procesada por el sistema.

Muchos sistemas militares han sido disenados para manejar unnivel de seguridad en modo dedicado.

En este modelo, cada uno de los usuarios que acceden alsistema debe poseer un alto nivel de autorizacion(clearance).

Si un sistema maneja informacion clasificada como TOPSECRET, solo usuarios con este nivel de autorizacion podranacceder el mismo.


Modos de Seguridad

System High Security Mode









Modos de Seguridad


Definicion


Todos los usuarios del sistema tienen permitido y aprobado laposibilidad de ver la informacion dentro del sistema, pero nonecesariamente necesitan conocer la misma (tıpicamente militar).

Todos los usuarios tienen “need-to-know” sobre ALGUNOS delos datos.

Al igual que en el modelo anterior, en este cada uno de losusuarios que acceden al sistema debe poseer un alto nivel deautorizacion, sin embargo un usuario puede tener accesorestringido a informacion para la cual no tiene “need-to-know”.


Modos de Seguridad

Multi-Level Security Mode (MLS)









Modos de Seguridad


Definicion


Este modo de operacion, permite que dos o mas niveles declasificacion, sean utilizados en forma simultanea.

No todo el personal que tiene acceso al sistema tiene laaprobacion ni la necesidad de conocer para toda lainformacion dentro del sistema.


Modos de Seguridad

Compartmentalized Security Mode (Partitioned)









Modos de Seguridad


Definicion


Un sistema se encuentra operando en Compartmented SecurityMode, cuando todos los usuarios tienen autorizacion respecto de latotalidad de la informacion procesada por el sistema, pero no todostienen la need-to-know.

En este modo, se establecen restricciones de acceso a losusuarios, sobre la porcion de informacion para la que no existeneed-to-know. De esta forma, los usuarios terminanaccediendo unicamente a un segmento, particion ocompartment de datos.

En un sistema acorde al Compartmentalized Security Mode,algunos necesitan conocer la informacion, otros no.

Los usuarios del sistema deben cumplir con los requerimientospara el area o particion a la que desean acceder.


Modelos de Seguridad




4 Modelos de SeguridadIntroduccionBell-LaPadulaBibaClark & WilsonOtros Modelos






Introduccion










Introduccion

Caracterısticas

“Los modelos de seguridad son un concepto importante en elanalisis y diseno de sistemas de computo seguro”

.

Provee un framework dentro del cual puede serimplementada una polıtica de seguridad.

Define los lineamientos necesarios para implementar ysoportar la polıtica de seguridad.

Provee los lineamientos y directivas que deben cumplir losdesarrollos de hardware y software, motivo por el cual solemosreferirnos a estos como la representacion simbolica de unapolıtica de seguridad en un conjunto de reglas que pueden serseguidas por una computadora.



Introduccion

Polıtica vs Modelo de Seguridad

Mientras que una polıtica de seguridad es generalmente unconjunto de directivas o intenciones abstractas, un modelo de

seguridad representa exactamente el modo en el cual la polıticadeberıa ser implementada.

Las polıticas de seguridad proveen los objetivos abstractos y elmodelo de seguridad provee las reglas necesarias para cumplir con

dichos objetivos.



Introduccion

Implementacion

En la actualidad, los modelos formales de seguridad han quedadoalgo relegados respecto de la cambiante dinamica de negocios conla cual convivimos a diario.

Siendo rigoristas, si bien los mismos aun permiten establecerparametros generales, a nivel practico solo pueden serimplementados parcialmente.

Conceptos tales como: Firewall, Troyanos o Worms, no seencuentran contemplados en los denominados modelos formales



Bell-LaPadula










Bell-LaPadula

Introduccion

Descripcion formal de los flujos de informacion permitidosdentro de un sistema seguro.

Se utiliza para definir requerimientos de seguridad parasistemas que deben administrar datos a diferentes niveles desensitividad.

*-Property (propiedad estrella) – previene el write-down,Sujetos pertenecientes a niveles de acceso superiores nopueden escribir informacion en objetos de niveles desensibilizad inferiores. Evita el filtrado de informacion sensitivaa niveles menos seguros.



Bell-LaPadula

Modo de Operacion



Bell-LaPadula

Caracterısticas

El modelo define un estado seguro (secure state)

El acceso entre sujetos y objetos respeta una polıtica deseguridad especıfica.

TCSEC es una implantacion de Bell-LaPadula

Solo aplica a la sensibilizad (nivel de confidencialidad/secreto)de la informacion.

Tal vez el modelo mas representativo respecto deambientes militares.



Bell-LaPadula

Resumen

Bell-Lapadula

Orientado a mantener la confidencialidad.

Reglas de Operacion:

simple-rule (no read up) = espionaje*-rule (no write down) = divulgacionstrong-*-rule : si se posee la capacidad de read y write solo sepueden realizar estas funciones en el mismo nivel.



Biba










Biba

Introduccion

El modelo Biba cubre niveles de integridad, los cuales sonanalogos a los niveles de sensitividad del modeloBell-LaPadula.

Los niveles de integridad cubren la modificacion impropia dedatos.

Tal vez el modelo mas representativo respecto deambientes comerciales.

Previene que usuarios no autorizados realicen modificaciones(1er objetivo de integridad)

Modelo Read Up, Write DownLos sujetos no pueden leer objetos de integridad inferior, y nopueden escribir objetos de integridad superior.



Biba

Modo de Operacion



Biba

Resumen

Biba

Orientado a asegurar la Integridad

Reglas de Operacion:

simple-rule: no read down = evitar las fuentes dudosas.*-rule: no write up = no contaminar otros documentos.



Clark & Wilson










Clark & Wilson

Introduccion

Al igual que Biba, este modelo se encuentra orientado aproteger la integridad de la informacion.

Cumple con los principales objetivos de un modelo deintegridad:

Previene las modificaciones por parte de usuarios noautorizados. (T – Tamper).Previene que usuarios autorizados realicen modificacionesimpropias.Mantiene la consistencia interna y externa. (C – Consistencia)

Refuerza el concepto de auditoria.

Todas las las modificaciones deben ser registradas (L - Logged)



Clark & Wilson

Well Formed Transactions

Propone “Well Formed Transactions”

Una WFT no es mas que una serie de operaciones quepermiten la transferencia de datos de un estado seguro a otroestado seguro.Algunos de los principios relacionados con WFT son:

Ejecucion de tareas en forma ordenada.Ejecucion exacta de las tareas definidas.Autenticacion de los individuos que ejecutan las tareas.

El modelo Clark & Wilson, incorpora la separacion de tareas(separation of duties) dentro de la arquitectura de unaaplicacion. Es decir, provee las reglas que los desarrolladoresdeben seguir a efectos de reforzar este principio a traves deprocedimientos de software.



Clark & Wilson

Modo de Operacion



Clark & Wilson

Resumen

Biba

Orientado a asegurar la Integridad

Conceptos Clave:

Access Triple = Subject -> Application (SW)-> ObjectAuditing = Aplicacion logueando accesosSeparation of Duties = Separacion de tareas.



Otros Modelos










Otros Modelos

Modelo de maquina de estados(State Machine Model)

Definicion

Modelo matematico abstracto que se compone de variables deestado y funciones de transicion entre estados.

La mayorıa de los modelos formales de seguridad, incluyendoBell-LaPadula y Biba, se consideran derivados de estemodelo.



Otros Modelos

Modelo de flujo de informacion (Information FlowModel)

Definicion

Simplifica el analisis de covert channels. Cuando Information FlowModel es utilizado, un sistema es seguro si todo flujo deinformacion ilegal no es permitido.

Bell-LaPadula es un modelo de IF que asegura que lainformacion no pueda fluir de un compartimiento a otro enforma que afecte la confidencialidad. Biba definecompartimientos de datos basado en niveles de integridad,implementando de este modo, un modelo de IF que proteja laintegridad de la informacion mas confiable.



Otros Modelos

Modelo de no-interferencia

Definicion

Cubre aquellos casos en los que se necesita prevenir que sujetosque operan en un determinado dominio puedan afectarse entresı violando la polıtica de seguridad (Actividades realizadas sobre unnivel de seguridad no deberıan afectar o ser vistas, por sujetos uobjetos en un nivel de seguridad diferente).

De utilizacion tıpica en sistemas multi-nivel.

Su principal proposito no es otro que el de combatir ataquesde inferencia y de covert channels.



Otros Modelos

Modelo de Matriz de Accesos(Access Matrix Model)

Definicion

Es un modelo de maquina de estados aplicado a un ambiente DAC(Discretionary Access Control). Decisiones de acceso, son basadasen ACLs de objetos y tablas de capacidades del sujeto.


Guıas de Evaluacion





5 Guıas de EvaluacionIntroduccionTCSECITSECCC





Introduccion










Introduccion

Antecedentes

El proceso de determinar cuan seguro es un sistema puede seruna tarea difıcil.

Las organizaciones necesitan metodos para evaluar el grado deseguridad otorgado por tal o cual sistema, y de este mododeterminar si el mismo resuelve los requisitos impuestos por lapolıtica de seguridad implementada.

Una guıa de evaluacion, deberıa ser lo suficientemente generalen sus principios, de modo tal que la misma sirva a los efectosde comparar diferentes tipos de sistemas y otorgar a losmismos una clasificacion de acuerdo al nivel de seguridad quepresentan.



Introduccion

Antecedentes

Inicialmente, el concepto detras de la confeccion de una Guıade Evaluacion, se encuentra ıntimamente relacionado con lanecesidad por parte de las agencias de seguridad, el gobierno,y las organizaciones privadas, de conocer el nivel o grado deseguridad, existente en los diferentes sistemas, aplicaciones oproductos al momento de efectuar una compra o contratacion.



TCSEC










TCSEC

Trusted Computer Systems Evaluation Criteria

En 1985 el “National Computer Security Center” (NCSC),desarrolla para el “Departamento de Defensa de los EEUU”(DoD), un conjunto de estandares, los cuales resultan en lacreacion de TCSEC (Trusted Computer System EvaluationCriteria).

El principal objetivo detras de la creacion de TCSEC es el deproveer al gobierno y entidades relacionadas, con un guıa queles permitiera evaluar los productos ofrecidos por losdiferentes proveedores, para cada uno de los criterios deseguridad especificados.



TCSEC


TCSEC == “Orange Book”

TCSEC provee:

Una base para establecer requisitos de seguridad en lasespecificaciones de adquisicion.Un estandar de los servicios de seguridad que deben serproporcionados por los vendedores para los diferentes criteriosde seguridad existentes.Una forma de medir la seguridad de un sistema de informacion.TCSEC direcciona confidencialidad. No integridad. Lafuncionalidad de los mecanismos de seguridad y el Assurancede los mismos, NO son evaluados en forma separada.



TCSEC


D - Minimal protection

C - Discretionary ProtectionC1 – Usuarios cooperativos que pueden proteger su propiainformacionC2 – DAC mas granular, se puede auditar al usuario/ procesoindividualmente (individual accountability)

B - Mandatory Protection (Bell-LaPadula, RM, SecurityLabels Requeridas)

B1 Labeled Security Protection (Process Isolation!)B2 Structured Protection (Covert Channels!)B3 Security Domains

A - Verified Protection (Direcciona seguridad a nivel TopSecret)

A1 Verified Design



ITSEC










ITSEC

Information Technology Security Evaluation Criteria

Desarrollado en Europa como estandar unico de evaluacion dela seguridad en sistemas.

Evalua Funcionalidad y Seguridad (Assurance) en formaseparada.

Effectiveness = Hacen lo que se espera que haga.Correctiveness = Que tan correcto es el proceso por el cual lohacen.

Clasificaciones por:

F1-F10 Niveles de Funcionalidad.E0-E6 Niveles de Assurance.

ITSEC direcciona Integridad, Disponibilidad yConfidencialidad.

ITSEC se ocupa de evaluar sistemas en red mietras queTCSEC solo hace lo propio con sistemas stand-alone.



CC










CC

Common Criteria (CC)

Creado por el ISO en 1993.

Creado a partir de TCSEC, ITSEC, Canadian Trusted.Computer Product Evaluation Criteria (CTCPEC) y el FederalCriteria.

Provee mas flexibilidad que TCSEC e ITSEC.



CC

Componentes del Common Criteria (CC)

Protection Profile (PP)Descripcion de las necesidades de seguridad de un producto.

Target of Evaluation (TOE)Producto que se propone evaluar.

Security Target (ST)Descripcion escrita por el proveedor explicando lasfuncionalidades de seguridad (que hace?) y mecanismos deassurance que cumplen los requerimientos de seguridad (comolo hace?).

Packages – Evaluation Assurance Levels (EAL)Los requerimientos Funcionales (definen el comportamiento delproducto relacionado con la seguridad) y de Assurance(establece el nivel de confianza en el producto) son reunidos enpaquetes para ser reutilizados.Describen los requisitos a cumplir para alcanzar cada nivel EALespecıfico.



CC

Package Ratings – Evaluations Ratings

1 Basic Assurance

EAL 1 Functionally testedEAL 2 Structurally testedEAL 3 Methodically tested and checkedEAL 4 Methodically designed, tested and reviewed

2 Medium Assurance

EAL 5 Semiformally designed and tested

3 High Assurance

EAL 6 Semiformally verified design and testedEAL 7 Formally verified design and tested


Certificacion y Acreditacion






6 Certificacion y AcreditacionIntroduccion




Introduccion






6 Certificacion y AcreditacionIntroduccion




Introduccion

Definiciones

Procedimientos y Juicios que determinan si un sistema seencuentra en condiciones para operar en un ambienteoperativo determinado (suitability).

La certificacion considera al sistema dentro del ambienteoperativo.

La acreditacion refiere a la decision oficial de la gerenciarelacionada con la operacion del sistema en el ambienteespecificado.



Introduccion

Definiciones

Certificacion

Evaluacion tecnica mediante la cual se revisan los mecanismos ycontroles de seguridad, con el objeto de evaluar su efectividad.

Acreditacion

Aceptacion oficial de los resultados de una certificacion.


Amenazas y Ataques







7 Amenazas y AtaquesAmenazas


Amenazas y Ataques

Amenazas







7 Amenazas y AtaquesAmenazas


Amenazas y Ataques

Amenazas

Covert Channels

Definicion

Un canal de comunicacion que permite la transferencia deinformacion entre dos procesos violando la polıtica de seguridad delsistema.

Producto de:

Descuido en el desarrollo del producto.Implementacion no apropiada de control de acceso.Existencia de un recurso compartido entre dos entidades.Instalacion de un Caballo de Troya.

Covert Storage Channel involucra uso de memoriacompartida entre los dos procesos.

Covert Timing Channel involucra la modulacion del uso deun recurso del sistema (por ejemplo CPU).


Amenazas y Ataques

Amenazas

Timing Attacks / Asynchronous Attacks

Buscan tomar ventaja en el paso del tiempo entre dos eventosdiferentes.

Time of Check / Time of Use (TOC/TOU)El ataque ocurre por ejemplo, entre el momento en el que serevisa un archivo determinado y el momento en que se loutiliza.Un usuario se logue en el sistema por la manana y esdespedido por la tarde. Por seguridad, el administradorremueve el usuario de la base de datos, pero si el usuario encuestion no es obligado a hacer el log off, aun podra seguiraccediendo por algun tiempo a los recursos de la companıa.


Amenazas y Ataques

Amenazas

Radiacion Electromagnetica

Simplemente debido a las clases de componentes electronicoscon los cuales se construyen, muchos dispositivos de hardwareemiten radiacion electromagnetica durante su operacion.

En ciertas circunstancias estas emanaciones pueden serinterceptadas y las secuencias de teclado reconstruidas.

Tambien es posible detectar y leer paquetes de red en formapasiva, a lo largo de un segmento de la red.


Referencias bibliograficas

Referencias bibliograficas I

S Harris.CISSP Certification All-in-One Exam Guide, Fourth Edition.McGraw-Hill Osborne Media; 4 edition (November 9, 2007).

Arquitectura y Modelos de Seguridad - Seguridad en...

Documents

Transcript of Arquitectura y Modelos de Seguridad - Seguridad en...