SEGURIDAD MULTINIVEL.docx

7
SEGURIDAD MULTINIVEL La seguridad multinivel son aquellos sistemas operativos y bases de datos que contienen objetos con diferentes niveles de sensibilidad (confidencialidad o integridad). El acceso a los objetos se concede, o no, tras comprobar el nivel de sensibilidad del objeto con la habilitación del sujeto. El control de acceso a discreción es una política donde la mayoría de los sistemas operativos permiten a usuarios individuales determinar quién puede leer y escribir sus archivos y otros objetivos. En muchos entornos este modelo funciona satisfactoriamente, pero en otros casos requieren una seguridad más firme, como controles de acceso obligatorio, para garantizar que el sistema haga cumplir las políticas de seguridad establecidas, además de los controles de acceso a discreción estándar. Lo que hacen esos controles de acceso obligatorios es regular el flujo de información, para garantizar que no se filtren en forma indebida. Hay dos contextos para el uso de varios niveles de seguridad. Uno de ellos es para referirse a un sistema que es adecuada para protegerse de la subversión y cuenta con mecanismos sólidos a los dominios de información independientes, es decir, de confianza. Otro contexto es referirse a una solicitud de un equipo que se requiere que el equipo sea lo suficientemente fuerte como para protegerse de la subversión y poseer mecanismos adecuados para dominios de información por separado, es decir, un sistema que debemos confiar. Esta distinción es importante porque los sistemas que necesitan ser de confianza no son necesariamente dignos de confianza. El objetivo de esos sistemas es el control estricto del flujo de información. El origen de estos sistemas son centros de investigación militares.  EL MODELO BELL-LA PADULA Los autores de este modelo son David Bell y Lel LaPadula, en el año 1973, con la motivación de aplicarlo a Sistemas Operativos complejos y vulnerable y trabajando en tiempo compartido Este modelo de seguridad multinivel es el más utilizado, el cual se diseñó para manejar seguridad militar, pero también puede aplicarse a otras organizaciones. Los objetos (documentos) pueden tener un nivel de seguridad, como: no clasificado, confidencial, secreto y secreto máximo. También se asignan estos niveles a personas, dependiendo de qué documentos estén autorizados para ver.  Ejemplo: un general p odría tene r permiso de ver todos los documentos, mientras que un teniente podría estar restringido a documentos de nivel confidencial o más bajo

Transcript of SEGURIDAD MULTINIVEL.docx

RAMIREZ SOSA EUNICE

SISTEMAS OPERATIVOSRAMIREZ SOSA EUNICE

2

SEGURIDAD MULTINIVELLa seguridad multinivel son aquellos sistemas operativos y bases de datos que contienen objetos con diferentes niveles de sensibilidad (confidencialidad o integridad). El acceso a los objetos se concede, o no, tras comprobar el nivel de sensibilidad del objeto con la habilitacin del sujeto.El control de acceso a discrecin es una poltica donde la mayora de los sistemas operativos permiten a usuarios individuales determinar quin puede leer y escribir sus archivos y otros objetivos. En muchos entornos este modelo funciona satisfactoriamente, pero en otros casos requieren una seguridad ms firme, como controles de acceso obligatorio, para garantizar que el sistema haga cumplir las polticas de seguridad establecidas, adems de los controles de acceso a discrecin estndar. Lo que hacen esos controles de acceso obligatorios es regular el flujo de informacin, para garantizar que no se filtren en forma indebida.Hay dos contextos para el uso de varios niveles de seguridad. Uno de ellos es para referirse a un sistema que es adecuada para protegerse de la subversin y cuenta con mecanismos slidos a los dominios de informacin independientes, es decir, de confianza. Otro contexto es referirse a una solicitud de un equipo que se requiere que el equipo sea lo suficientemente fuerte como para protegerse de la subversin y poseer mecanismos adecuados para dominios de informacin por separado, es decir, un sistema que debemos confiar. Esta distincin es importante porque los sistemas que necesitan ser de confianza no son necesariamente dignos de confianza.El objetivo de esos sistemas es el control estricto del flujo de informacin. El origen de estos sistemas son centros de investigacin militares. EL MODELO BELL-LA PADULALos autores de este modelo son David Bell y Lel LaPadula, en el ao 1973, con la motivacin de aplicarlo a Sistemas Operativos complejos y vulnerable y trabajando en tiempo compartidoEste modelo de seguridad multinivel es el ms utilizado, el cual se dise para manejar seguridad militar, pero tambin puede aplicarse a otras organizaciones. Los objetos (documentos) pueden tener un nivel de seguridad, como: no clasificado, confidencial, secreto y secreto mximo. Tambin se asignan estos niveles a personas, dependiendo de qu documentos estn autorizados para ver. Ejemplo: un general podra tener permiso de ver todos los documentos, mientras que un teniente podra estar restringido a documentos de nivel confidencial o ms bajo Un proceso que se ejecuta a nombre de un usuario adquiere el nivel de seguridad del usuario. Puesto que hay mltiples niveles de seguridad, este esquema se denomina sistema de seguridad multinivel.REGLAS QUE RIGEN EL FLUJO DE INFORMACIONEstas reglas determinan si un sujeto puede o no acceder, ya sea para leer o escribir, a un objeto se compara la habilitacin del primero con la clasificacin de sensibilidad del segundo. 1. La propiedad de seguridad simple: un proceso que se ejecuta en el nivel de seguridad k solo puede leer objetos de su nivel o de niveles inferiores. Por ejemplo, un general puede leer los documentos de un teniente, pero el teniente no puede leer los documentos de un general.(NINGUN PROCESO PUEDE LEER INFORMACION DE UN NIVEL SUPERIOR).2. La propiedad * o propiedad estrella: un proceso que se ejecuta en el nivel de seguridad k puede escribir solo objetos en su nivel o en niveles superiores. Por ejemplo: un teniente puede anexar un mensaje al buzn de u general diciendo todo lo que sabe, pero un general no puede anexar un mensaje al buzn de un teniente diciendo lo que sabe, porque el general podra haber visto documentos de secreto mximo que no pueden revelarse a un teniente.(NINGUN PROCESO PUEDE ESCRIBIR INFORMACION EN UN NIVEL INFERIOR).

MODELO DE BIDAEl autor de dicho modelo es Ken Biba, en 1977. Su objetivo es el control de flujo de la informacin en lo tocante a su integridad. Es un Modelo dual al de Bell LaPadula y hace nfasis en preservar la integridad, que es, generalmente, la dimensin de la seguridad ms relevante es sistemas civiles.Este modelo controla el flujo de informacin en un sistema para preservar la integridad de los datos, estableciendo unas precisas reglas de control de acceso. Para determinar si un sujeto puede acceder (para leer o escribir) a un objeto se comparan la habilitacin del primero con la clasificacin del segundo. Las propiedades de este modelo son:1. Propiedad de seguridad simple: Ningn proceso puede leer informacin de un nivel inferior.2. Propiedad estrella: Ningn proceso puede escribir informacin en un nivel superior. A mayor nivel de etiqueta, mayor confianza en trminos de integridad en el sujeto/objeto. MODELO DE CLARK-WILSONEl modelo de Clark-Wilson est orientado netamente a la integridad de la informacin, buscando se mantengan los datos libres de modificaciones no autorizadas, es decir que cada ente se encargue nicamente de sus funciones sin interferir o realizar las de otro ente. Esto certifica de cierta manera, el correcto entendimiento y funcionamiento de la informacin a nivel interno como externo. SEGURIDAD DE LIBRO NARANJAEl Libro Naranja fue desarrollado por el NCSC (National Computer Security Center) de la NSA (National Security Agency) del Departamento de Defensa de EEUU. Actualmente, la responsabilidad sobre la seguridad de SI la ostenta un organismo civil, el NIST (National Institute of Standards and Technology).Define cuatro extensas divisiones jerrquicas de seguridad para proteccin de la informacin. En orden creciente de confiabilidad se tienen:A- Proteccin mnimaB- Proteccin discrecionalC- Proteccin obligatoriaD- Proteccin controladaCada divisin consiste en una o ms clases numeradas, entre ms grande sea el nmero se indica un mayor grado de seguridad: nivel D1, NIVEL C: contiene dos clases C! y C2 (de acuerdo a la nomenclatura adoptada, C2 ofrece una mayor seguridad que C1), NIVEL B: contiene 3 clases B1, B2 y B3 (B3 ofrece mayor seguridad que B2 y B2 ofrece ms seguridad que B1) y NIVEL A: cuenta solo con una clase A1. Cada clase se define con un grupo especfico de criterios que un sistema debe cubrir, para ser certificado con evaluacin en alguna clase. Este criterio cae en 4 categoras generales: Polticas de seguridad, Responsabilidad, confianza documentacin.Los requisitos para un determinado nivel siempre lo son para el siguiente, pudiendo este restringir ms an los criterios, ya que se trata de una jerarqua de niveles:1. D: seguridad mnima: En esta categora estn englobados todos los sistemas que han sido valorados y no han superado los requisitos mnimos para pertenecer a un nivel de seguridad superior. En esta categora no existen requisitos de seguridad." En realidad ningn sistema pertenece a esta categora, puesto que ningn vendedor evaluara un sistema para obtener un nivel de seguridad "D". Ordenadores bajo MS-DOS o las versiones personales de Windows (familia 9x), adems de otros sistemas antiguos son un ejemplo de sistemas que perteneceran a esta categora. 2. C1: proteccin mediante seguridad discrecional. Todos los usuarios manejan los datos al mismo nivel. En este nivel se procura evitar que los usuarios cometan errores y daen al sistema. Las caractersticas ms importantes de este nivel son el control de autentificacin mediante contraseas y la proteccin discrecional de los objetos. El cdigo del sistema debe estar protegido frente a ataques procedentes de programas de usuario (en UNIX, un proceso no puede salirse de su espacio virtual de direcciones, y si lo intenta, morir. Un sistema de este nivel no necesita distinguir entre usuarios individuales, Tan solo entre tipos de accesos permitidos o rechazados. En UNIX C1 hay que ser dueo de un objeto para ceder sus derechos de accesos y siempre se protege a los objetos de nueva creacin3. C2: proteccin mediante accesos. Controlados A partir de este nivel, el sistema debe ser capaz de distinguir entre los usuarios individuales. Generalmente el usuario debe ser dueo de un objeto para ceder los derechos de acceso sobre l. En la mayora de los sistemas UNIX a partir de este nivel, existen listas de control de acceso (ACLs). Debe permitir que los recursos del sistema se protejan mediante accesos controlados. En UNIX el acceso a los perifricos (dispositivos de E/S) siguen un esquema de permisos idntico al de los ficheros de los usuarios. Se aplican los requisitos de reutilizacin de objetos cuando esos mismos se reasignan. Se requiere a partir de este nivel que el sistema disponga de auditoria. Por ello cada usuario debe tener un identificador nico que se utiliza para comprobar todas las acciones solicitadas. Se deben auditar todos los sucesos relacionados con la seguridad y proteger la informacin de la auditoria. El sistema debe ser capaz de auditar a nivel de usuario.4. B1: proteccin mediante seguridad etiquetada. A partir de este nivel, los sistemas poseen un sistema de control de accesos obligatorio que implica colocar una etiqueta a los objetos (principalmente sobre los ficheros). Esto, junto con el nivel de habilitacin de los usuarios es utilizado para reforzar la poltica de seguridad del sistema. En estos sistemas, el dueo no es el responsable de la proteccin del objeto, a menos que disponga de la habilitacin necesaria. En cuanto a la auditoria, el sistema debe ser capaz de registrar cualquier cambio o anulacin en los niveles de seguridad, y tambin hacerlo selectivamente por nivel de seguridad." Debe existir una documentacin que incluya el modelo de seguridad soportado por el sistema. No es necesaria una demostracin matemtica, pero si una exposicin de las reglas implantadas por las caractersticas de seguridad del sistema.5. B2: proteccin estructurada. A partir de este nivel, los cambios en los requisitos no son visibles desde el punto de vista del usuario respecto de los niveles anteriores. En B2, todos los objetos del sistema estn etiquetados, incluidos los dispositivos. Deben existir vas fiables que garanticen la comunicacin segura entre un usuario y el sistema. Los sistemas deben ser modulares y utilizar componentes fsicos para aislar las funciones relacionadas con la seguridad de las dems. Requieren una declaracin formal del modelo de seguridad del sistema, y que haya una gestin de la configuracin. Tambin deben buscarse los canales ocultos.6. B3: dominios de seguridad. Es necesario que exista un administrador de seguridad, que sea alertado automticamente si se detecta una violacin inminente de la seguridad. Deben existir procedimientos para garantizar que la seguridad se mantiene aunque el ordenador se caiga y luego re arranque. Es obligatoria la existencia de un monitor de referencia sencillo, a prueba de agresiones e imposible de eludir. La TCB debe excluir todo el cdigo fuente que no sea necesario para proteger el sistema.7. A1: diseo verificado. Esta es la clase de certificacin ms alta, aunque el Libro Naranja no descarta la posibilidad de exigir requisitos adicionales. Son sistemas funcionalmente equivalentes a B4. Tan solo se aade la distribucin fiable que refuerza la seguridad. Los sistemas A1 tienen la confiabilidad adicional que ofrece el anlisis formal y la demostracin matemtica de que el diseo del sistema cumple el modelo de seguridad y sus especificaciones de diseo.

CANALES ENCUBIERTOSLos canales encubiertos fueron definidos en la era digital como \aquellos no intencionados para la transferencia de informacin" por B.W. Lampson y posteriormente definidos como \cualquier canal de comunicacin que puede ser explotado por un proceso para transferir informacin en violacin de la poltica de seguridad del sistema", por el Departamento de Defensa de Estados Unidos. Los canales encubiertos utilizan recursos compartidos como va de comunicacin. Los recursos compartidos en un sistema informtico son el espacio o el tiempo; esto nos lleva a las siguientes dos clases de canales encubiertos:1. Canales de almacenamiento. Por ejemplo considerar un proceso A que escriba a un objeto y un proceso B que lo lea. Posibles canales de almacenamiento: Atributos del objeto, por ejemplo atributos de un fichero (longitud, formato, fecha de la modificacin, ACL-Lista de Control de Acceso, etc.). Existencia del objeto. Por ejemplo, comprobar la existencia de un cierto fichero. Recursos compartidos. Por ejemplo, utilizar la cola de impresin (llena o vaca). 2. Canales de timing. Por ejemplo, considerar un proceso A que crea algn efecto y un proceso B que mida el tiempo. Posibles canales de timing: Variar la carga de la CPU por ejemplo a intervalos de 1 milisegundo (opera bien si slo hay dos procesos). Hacer que la ejecucin del programa dependa de los datos del programa. Los canales de timing tienden a ser ruidosos y difciles de detectar. Como posible contramedida denegar el acceso al reloj del sistema, aunque es posible que el atacante tenga su propio reloj.Los canales encubiertos son una forma de comunicacin oculta que puede vulnerar la integridad de los sistemas. Desde sus inicios en sistemas de seguridad multinivel a principios de los aos 70 han evolucionado considerablemente, apareciendo soluciones para redes de computadores debido a la especificacin de algunos protocolos. Por este motivo, se hace un estudio sobre las tcnicas que se han utilizado para crear los canales, as como sobre las distintos obstculos que han tratado de mermar su actividad. Asimismo, se presenta una nueva clasificacin que trata de albergar la mayor cantidad de canales encubiertos existentes en la actualidad. A partir de este anlisis se implementan distintas versiones de un canal encubierto haciendo uso de este protocolo. El concepto de canal encubierto fue introducido por Butler W. Lampson [1] en 1973 para sistemas de seguridad multinivel con la finalidad de sealar las posibilidades que tiene un programa para transmitir informacin a otro de manera clandestina. Tras Lampson otros autores siguieron utilizando el concepto de canal encubierto, sin embargo, con el tiempo los trminos propuestos por este fueron adquiriendo otros matices. As por ejemplo, en [9] se comienza a notar que lo que Lampson defini como canal encubierto es lo que ms tarde se conocer a como canal de temporizacin. Sin embargo, Lipner nunca llega a llamarlos as.La caracterizacin ms importante de un canal encubierto es su ancho de banda medida en bps. Los canales encubiertos pueden hacer uso de casi cualquier medio para la transferencia de la informacin, por ejemplo esteganografa, marcas de agua digitales (o DWM) y fingerprinting.En lo que respecta a canales encubiertos en redes de comunicaciones, la definicin genrica anterior puede ser especializada a \una manipulacin de un protocolo de comunicacin para transferir informacin de forma no prevista por la especificacin del protocolo". Los mismos pueden ser o bien de almacenamiento, utilizando el contenido de las tramas o paquetes del protocolo en s, para codificar la informacin del canal, o bien temporales, utilizando el tiempo de envi o el orden de envo de las tramas o paquetes para codificar la informacin del canal. El otro aspecto que permite clasificar a los canales encubiertos, ortogonal al anterior, distingue entre un canal al cual nicamente el emisor y receptor tienen acceso (utilizando un recurso compartido nicamente por ellos) y otro en el que terceras partes tambin tienen acceso (utilizando un recurso compartido por ellos y por al menos un tercero que no participa del canal). Los primeros se llaman canales encubiertos \sin ruido" mientras que los segundos se llaman canales encubiertos\ruidosos" Por ltimo, cabe destacar que una de las propiedades clave de un canal encubierto es su ancho de banda y es uno de los parmetros ms crticos utilizados a la hora de comparar canales encubiertos. Otros criterios de evaluacin son: Probabilidad de deteccin Grado de anonimidad Facilidad de implementacin Alcance (en el caso particular de canales encubiertos de red).