1 AUDITORIA DE LA SEGURIDAD en Telecomunicaciones y redes de computadoras Unidad VI.
Seguridad Telecomunicaciones
-
Upload
agus-lycan -
Category
Documents
-
view
34 -
download
2
Transcript of Seguridad Telecomunicaciones
Í NDÍCE
SISTEMA DE SEGURIDAD EN WINDOWS ______________________________________________ 1
ALMACENAMIENTO DE CONTRASEÑAS EN LA BASE DE DATOS DE CUENTAS ________________ 1
PROTOCOLO NETBIOS __________________________________________________________ 2
MODELO BELL-LAPADULA _________________________________________________________ 2
MODELO CLARK-WILSON _________________________________________________________ 3
REGLAS DE INTEGRIDAD _________________________________________________________ 4
REQUERIMIENTOS PARA SERVICIOS DE SEGURIDAD INFORMÁTICA _______________________ 5
MODELO TAKE-GRANT ___________________________________________________________ 6
DESCRIPCIÓN DEL MODELO DE TAKE-GRANT ________________________________________ 6
MODELO GOGUEN-MESEGUER _____________________________________________________ 7
VIRTUALIZACIÓN ______________________________________________________________ 8
EL MODELO – LA SEMÁNTICA DEL LENGUAJE ________________________________________ 9
MODELO DE MATRICES DE ACCESO _________________________________________________ 9
ELEMENTOS EN GRAHAM-DENNING ______________________________________________ 10
DERECHOS ESPECIALES EN EL MODELO DE GRAHAM-DENNING _________________________ 10
OCHO COMANDOS EN EL MODELO DE GRAHAM-DENNING ____________________________ 10
OBJETIVOS DEL TRABAJO DE HRU ________________________________________________ 11
SISTEMAS DE PROTECCIÓN _____________________________________________________ 12
EL ESTADO DE UN SISTEMA DE PROTECCIÓN _______________________________________ 12
COMANDOS: EJEMPLOS ________________________________________________________ 12
CRITERIO DE EVALUACION TCSEC __________________________________________________ 13
OBJETIVOS Y REQUISITOS FUNDAMENTALES _______________________________________ 13
POLÍTICA ____________________________________________________________________ 13
RESPONSABILIDAD ____________________________________________________________ 13
GARANTÍA ___________________________________________________________________ 14
DOCUMENTACIÓN ____________________________________________________________ 14
DIVISIONES Y CLASES __________________________________________________________ 14
D - La protección mínima _____________________________________________________ 15
C - Protección Discrecional ___________________________________________________ 15
B - Protección obligatoria ____________________________________________________ 15
A - Protección Verified _______________________________________________________ 16
CLASES DE JUEGO A LOS REQUISITOS AMBIENTALES _________________________________ 16
CRITERIO DE EVALUACION ITSEC _________________________________________________ 16
OBJETIVOS DE LA NORMA ______________________________________________________ 17
QUE ES LO QUE BUSCA LOGRAR _________________________________________________ 17
POSIBILIDADES DE IMPLEMENTACION ____________________________________________ 18
CRITERIOS DE EVALUACION CC ____________________________________________________ 18
FUNCIONAMIENTO ____________________________________________________________ 18
PERFILES DE PROTECCION ______________________________________________________ 19
LA NORMA ISO 17799 (27001) ____________________________________________________ 19
¿QUÉ ES LA ISO/IEC 27000? _______________________________________________________ 20
NORMAS Y LEGISLACIÓN INFORMÁTICA INTERNACIONAL ______________________________ 21
NORMAS DE EVALUACIÓN Y CERTIFICACIÓN ________________________________________ 21
NORMAS Y LEGISLACIÓN INFORMÁTICA NACIONALES ________________________________ 21
PROTECCIÓN DE DATOS PERSONALES: ____________________________________________ 22
PROPUESTAS EN POLÍTICA INFORMÁTICA NACIONAL - SECTORES SOCIAL Y PRIVADO: _______ 22
1
SISTEMA DE SEGURIDAD EN WINDOWS
ALMACENAMIENTO DE CONTRASEÑAS EN LA BASE DE DATOS DE CUENTAS
Los registros de usuario se almacenan en la base de security accounts manager
(SAM) o en la base de datos de Active Directory. Cada cuenta de usuario está
asociado con dos contraseñas: la contraseña compatible con LAN Manager y la
contraseña de Windows. Así cada contraseña estará cifrada y almacenada en la
base de datos SAM o en la base de datos de Active Directory.
La contraseña LAN Manager se basa en el juego de caracteres de fabricante de
equipos originales (OEM). Este tipo de contraseña no distingue mayúsculas de
minúsculas y puede tener hasta 14 caracteres. La versión OWF de esta
contraseña es también conocida como la versión OWF LAN Manager o ESTD.
Esta contraseña se calcula mediante el uso de cifrado DES para cifrar una
constante con la contraseña de texto sin cifrar. La contraseña de LAN Manager
OWF tiene la característica de longitud de 16 bytes. Los primeros 7 bytes de la
contraseña de texto sin cifrar se utilizan para calcular los 8 primeros bytes de la
contraseña de LAN Manager OWF. Los otros 7 bits restantes de la contraseña de
texto sin cifrar se utilizan para los segundo 8 bytes de la contraseña de LAN
Manager OWF del equipo. La contraseña de Windows se basa en el juego de
caracteres Unicode. Dentro de los conocidos service pack existen las
actualizaciones y o mejoras de los mismos como ejemplo tenemos a Windows
2000 con su Service Pack 2 aunque también se encuentra en versiones
posteriores de Windows, es aquí donde se encuentra disponible una configuración
que le permite impedir que Windows almacene un hash de LAN Manager de su
contraseña.
Un dato importante es que Windows utiliza la API LsaLogonUser para todos los
tipos de autenticaciones de usuario, esto se debe a que LsaLogonUser tiene la
función principal de seguridad para autenticar datos de inicio de sesión mediante
el uso de la información almacenada en las credenciales.
Si la autenticación es correcta, esta función crea una nueva sesión de inicio de
sesión y devuelve un token de usuario. Internamente, el paquete de autenticación
MSV se divide en dos partes.
LsaLogonUser admite inicios de sesión interactivos, los inicios de sesión de
servicio y los inicios de sesión de red. Cuando se inicia una sesión interactiva, los
inicios de sesión por lotes y los inicios de sesión del servicio, el cliente de inicio de
2
sesión es en el equipo que está ejecutando la primera parte del paquete de
autenticación MSV.
La primera parte del paquete de autenticación MSV convierte la contraseña de
texto sin cifrar para una contraseña de LAN Manager OWF y una contraseña de
Windows NT OWF. (Soporte, 2014)
PROTOCOLO NETBIOS
Una de las características principales de las redes Windows, es el protocolo NetBios, algunos lo llaman bug, pero realmente, estan equivocados. NetBios es el protocolo de redes Microsoft, que aporta opciones como resolución de Nombres de máquinas en una misma red, sin necesidad de DNS, es lo que podriamos llamar equipos próximos. Funciona a través del puerto TCP 139, y permite mostrar los recursos compartidos de una máquina.
El principal problema de este protocolo, es que no esté filtrado hacia Internet, es decir, que utilizarlo en la red local es totalmente seguro, no obstante los sistemas Windows, por defecto aplican el protocolo NetBIOS a todas las conexiones de red, tanto de acceso telefónico como de red local.
Principalmente, el sistema operativo más vulnerable es Windows95-98-ME, y también el más extendido en el mundo. Lo que convierte a cualquier usuario con unos conocimientos mínimos de informática, en un peligroso enemigo, pues puede hacerse con toda la información que tengamos en nuestra máquina, sin necesidad de ningún software especial, solamente necesitan una máquina con Windows y conexión a Internet.
MODELO BELL-LAPADULA
Su objetivo de este modelo es la confidencialidad de los datos, es decir, prevenir
el acceso no autorizado a la información de la organización y sobre todo su
modificación de esta misma, para así poder controlar el flujo de información. Este
tipo de modelo, se ha ocupado en sistemas militares, los cuales lo dividen en 4
niveles de seguridad: alto secreto, secreta, confidencial, no clasificado.
Como este modelo solo se encarga de la confidencialidad y no de su integridad
por los datos, existen 2 tipos de entidades, que son sujeto y objeto, los cuales en
base a ellos, se puede decir que un sistema puede estar en estado seguro si uno
de ellos, ya sea sujeto u objeto, tienen concordancia con la política de seguridad.
Podemos decir que ante un requerimiento, el sistema dará acceso o no, teniendo
en cuenta la habilitación del sujeto y la clasificación del objeto.
3
Este modelo tiene dos principios o reglas:
Read down, que es cuando una persona puede leer si tiene permiso.
Write up, que es en caso de que una persona quiera escribir, si tiene el
permiso.
El modelo define 2 reglas de control de acceso mandatorio (MAC) y una regla de control de acceso discrecional (DAC) con 3 propiedades:
1) Propiedad de seguridad simple: Un sujeto de un determinado nivel de seguridad no puede leer un objeto perteneciente a un nivel de seguridad más alto.
2) Propiedad (Propiedad estrella): Un sujeto de un determinado nivel de seguridad no puede escribir un objeto perteneciente a un nivel de seguridad más bajo. (También llamada propiedad de confinamiento).
3) Propiedad de seguridad discrecional: Se utiliza una matriz de acceso para especificar el control de acceso discrecional.
Con Bell-LaPadula, los usuarios pueden crear contenido sólo en su nivel de seguridad o por encima. Inversamente, los usuarios pueden ver solamente contenido de su propio nivel o inferior.
PRINCIPIO DE LA TRANQUILIDAD
En este principio se basa en 2 formas:
Principio de la tranquilidad fuerte.
Principio de la tranquilidad débil.
MODELO CLARK-WILSON
El modelo de Clark-Wilson está orientado netamente a la integridad de la
información, buscando se mantengan los datos libres de modificaciones no
autorizadas, es decir que cada ente se encargue únicamente de sus funciones sin
interferir o realizar las de otro ente. Esto certifica de cierta manera, el correcto
entendimiento y funcionamiento de la información a nivel interno como externo.
Las transacciones correctas son las que pretenden garantizar que un usuario
pueda modificar información de manera aleatoria, es decir, que solo puedan
generarse modificaciones en registros, y/o situaciones específicas en forma
determinada, restringiendo los posibles cambios incorrectos.
El control de separación de obligaciones, trata de mantener la consistencia de la
información, separando las operaciones o acciones según el perfil al cual
4
pertenezca el sujeto que ejecutará el cambio, es decir un usuario puede iniciar una
transacción pero no está autorizado para ejecutarla o validarla.
En el modelo se representan dos grupos de datos tales como los elementos de
datos restringidos (CDIs) que son elementos u objetos cuya integridad debe
mantenerse, y los elementos de datos no restringidos (UDIs) que son elementos u
objetos que no están cubiertos por las políticas de integridad.
su vez se definen dos procedimientos que permiten mantener la consistencia
interna y externa de los datos como son los procedimientos de verificación de
integridad y los procedimientos de transformación.
Los procedimientos de verificación de integridad (IVP) tienen el propósito de
confirmar que todos los CDIs se encuentren en un estado valido con relación a la
integridad del mismo
REGLAS DE INTEGRIDAD
Las reglas a aplicar dentro del modelo permiten garantizar que la integridad sea alcanzada y preservada. Este modelo consta de nueve reglas las cuales se dividen entre: Monitoreo-Integridad (Reglas de Certificación) y Preservación-Integridad (Reglas de Ejecución). • Las Reglas de Certificación (C), envuelven el análisis humano y la decisión tomada hasta que alguna automatización sea posible. Son ejecutadas por el administrador. • Las Reglas de Ejecución (E), son de aplicación independiente, son fáciles de
implementar en el sistema. Son garantizadas por el sistema.
Se puede obtener las reglas que relacionan, la consistencia interna y externa de la información: 1. C1 (Certificación IVP): Todos los IVPs deben asegurar de manera apropiada que los CDIs se encuentren en un estado válido en el momento en el cual el IVP se encuentra en ejecución. 2. C2 (Validez): Todos los TPs deben estar certificados para ser válidos. Esto
significa que transforman un CDI a un estado final válido, si el CDI está en un
estado válido al inicio. Cada TP debe estar certificado para un conjunto específico
de CDIs.
3. E1 (Ejecución de Validez): El sistema debe mantener una lista de las relaciones
de la regla C2 y debe asegurar que cualquier manipulación de un CDI sea
mediante un TP y se encuentre autorizada por alguna relación.
Para el control de separación de obligaciones se deben tener en cuenta las siguientes reglas:
5
1. E2 (Ejecución de Separación de Obligaciones): El sistema debe mantener una lista de relaciones que enlacen al usuario, al TP y los CDIs que el TP debe manipular a favor de ese usuario. 2. C3: La lista de relaciones de E2 debe estar certificada para conocer la
separación de la obligación requerida.
1. E3 (Identidad de Usuario): Los usuarios que invocan TPs deben ser
autenticados.
2. C4 (Certificación de Bitácora): Todos los TPs deben estar certificados para que
puedan tener entrada en los Logs.
3. C5: Los TPs que transforman UDIs a CDIs deben estar certificados.
4. E4 (Iniciación): Sólo ciertos usuarios designados deben especificar las
relaciones. (Gollman, 2006)
FIGURA 1.1 Clases de acceso.
REQUERIMIENTOS PARA SERVICIOS DE SEGURIDAD INFORMÁTICA
En el modelo se identifican los siguientes requerimientos para los servicios de seguridad informática, que son: • En el cambio de registros y etiquetas de integridad, se almacenan los datos
en conjunto con la autoría, esto con el fin de soportar la política de atribución de
cambios. Por otro lado, la etiqueta deintegridad registra que los cambios fueron
certificados por el IVP y que el dominio de integridad fue utilizado, implicando que
todos los valores no nulos que contiene la base de datos para un determinado
atributo deben ser del dominio declarado para dicho atributo.
6
• Para que el soporte del acceso triple se ejecute en la política de cambio
restringido, enlaza al usuario, al programa y a los datos. Mediante esta política se
establece que usuario tiene permisos a que aplicación y por ende a cuales datos.
• Se habla de autenticaciones mejoradas cuando así la autenticación sea necesaria para la confidencialidad de los datos al momento de mantener la integridad, rigiéndose por la política de separación de obligaciones. Estas contraseñas pueden ser reveladas permitiendo realizar actividades por una misma persona que está ingresando con dos usuarios diferentes que deberían ser usados por personas diferentes, violando de esta manera las reglas de separación de obligaciones. • El control de usuarios a los cuales se les da privilegios debe ser ejecutada por las personas que mantienen los accesos triples, es decir, a aplicaciones, datos y enlace a usuarios. • En el control del programa de aplicaciones un sistema necesita herramientas
automatizadas para manejar las aplicaciones de software y asegurar su integridad
que a su vez deben ser controladas.
• En la Separación dinámica de las obligaciones relacionada a los TPs se
requiere que para cumplir con un objetivo se realice una serie de pasos por
diferentes personas, esto sirve para identificar quien ha realizado qué, y realizar la
separación de funciones sin que perturbe el funcionamiento normal de las
actividades.
MODELO TAKE-GRANT
Uno de los requisitos mínimos de seguridad del sistema informático es la presencia de control de acceso a la información. Esto significa que el sistema debe organizarse para que los usuarios sólo tengan acceso a la información que necesitan para realizar sus tareas. Para este propósito se desarrolló una serie de modelos matemáticos para control de acceso. Uno de los modelos más desarrollados a fondo-es la protección Take-Grant modelo. El concepto central de este modelo es un estado seguro. El modelo identifica criterios de los estados de seguridad. Este artículo ofrece varios métodos para determinar la seguridad del estado del sistema informático basado en el modelo de protección de Take-Grant.
DESCRIPCIÓN DEL MODELO DE TAKE-GRANT
Un sistema de ordenador en el modelo de Toma-Grant se representa como un gráfico dirigido (Llamado un gráfico protección) cuyos vértices son los sujetos y objetos del Sistema informático y los arcos son el derecho de acceso ajustado de sujetos a objetos. Adición a los derechos de acceso estándar, tales como la lectura o escritura en el Take-Grant introduce dos derechos de acceso adicional: Tome (t)
7
es el derecho de tomar cualquier derecho de acceso del sujeto, y Grant (g) es el derecho a ceder sus derechos de acceso a cualquier tema. Un análisis de la gráfica original puede determinar que es posible un tema en particular a obtener acceso a un objeto en particular para un cierto número de pasos. Esto significa que el análisis nos permite determinar la posibilidad de modificar el gráfico original, por lo que entre los dos vértices serán el arco que no existía en el gráfico original. El modelo Take-Grant usa gráficos dirigidos para especificar los derechos que un sujeto puede transferir a un objeto o que un sujeto puede tomar desde otro sujeto. Este modelo basado en grafos dirigidos, cuyos arcos son etiquetados con letras
que representan las operaciones. Dentro de este modelo se manipulan los grafos
como objetos formales, donde un vértice representa un usuario, y la etiqueta r
representa el privilegio de lectura, w escritura y c al llamado de procesos o
funciones. Basados en estas convenciones tenemos que si existe un arco de x a z,
con la etiqueta r, se puede interpretar como “x puede leer z”.
MODELO GOGUEN-MESEGUER
Este modelo también conocido como el “modelo de no interferencia”, permite
resolver el problema de la confidencialidad en sistemas de cómputo, su propósito
es que un grupo de usuarios no sepa acerca de los intereses de otro grupo de
usuarios.
Este modelo fue utilizado por primera vez por los militares, ya que ellos les
preocupaban mucho en cómo proteger los datos en sus sistemas de cómputo.
Para ello, ellos tuvieron que darles a ciertas personas con clases de acceso, que
en otras palabras podemos decir que son los niveles de seguridad que hacen dar
la autorización de ver y proteger los datos que otras personas no tienen acceso a
este tipo de información.
Se dice que este modelo, logra que un sistema multiusuario sea eficientemente
seguro, pero no es nada fácil. Podemos dar a entender, que en una organización
es importante el ser divididos en dos grupos de clases de acceso, ya sea superior
o inferior, para evitar la no confidencialidad de los datos.
El modelo de no interferencia, trabaja con dos aproximaciones:
Estático: analiza el código estático, tipos de sistemas, y compiladores que
certifican.
Dinámico: modelo subyacente que controla cada proceso para asegurar la
no interferencia.
8
La aproximación estática, es más dominante, pero la verdad es que es no es muy
eficiente o aplicables por los cual, los sistemas operativos como Linux y Windows,
no la aplican, si no que trabajan con una forma dinámica.
Para comprobar esto, se realizó un proceso llamado “Etiquetado de variables”, en
el cual como su nombre lo dice, se encarga de etiquetar una variable en un
proceso con la clase de acceso que tiene durante ese proceso, en el cual se basa
en el modelo de control de flujo de la información de Denning, pero resulta que no
es muy eficiente, ya que tiene problemas con los lenguajes máquina.
Por lo tanto, en proceso dinámico, que se basa en un proceso cuando quiere
acceder información de un nivel superior al que accede hasta ese momento, de
esta forma cada proceso accede información hasta cierto nivel. Además, todos los
procesos que se originan de esta forma comparten la entrada según el nivel que
esta tenga.
VIRTUALIZACIÓN
Decimos que el modelo se basa en virtualización porque el sistema se comporta
como si hubiera una computadora por cada nivel de seguridad.
Por ejemplo, si uno ejecuta vi secret_file public_file, el sistema crea dos procesos
para vi: uno accede a ambos archivos pero solo puede escribir en el archivo
secreto (H), en tanto que el otro accede ´únicamente al archivo público (L) pero
puede modificarlo. Además, cuando el usuario escriba algo, si la entrada es
publica, ambos procesos la recibirán.
De esta forma, parece como si cada proceso vi ejecutara en una computadora
diferente, cada una de las cuales procesa información hasta cierto nivel, pero
ambas conectadas a la misma E/S.
El modelo – La gramática del lenguaje
El modelo formal presentado en esta charla es muy abstracto y el ´único fin es
mostrar sus elementos primordiales.
Expr ::= N | V AR | V AR | &V AR | Expr Expr
BasicSentence ::=
skip | var := Expr | var := Expr | syscall(N, arg1, .
. . , argn)
ConditionalSentence ::=
if Expr then Program fi | while Expr do Program done
BasicAndConditional ::= BasicSentence | ConditionalSentence
Program ::= BasicAndConditional | Program ; Program
9
EL MODELO – LA SEMÁNTICA DEL LENGUAJE
MODELO DE MATRICES DE ACCESO
Lampson 1971 “practicas”
Graham y Denning “Principios y prácticas”
Harrison, ruzzo, y Ullman “Protección en sistemas operativos”
Las matrices de acceso están formados por un conjunto de sujetos (S), objetos
(O), y de derechos (R), en donde existe una fila para cada sujeto, una columna
para sujeto/objeto y sobre todo los elementos son derechos de un sujeto a otro, o
también en un objeto.
La base de toda matriz de acceso es uq e se centra en el control de acceso de los
sistemas operativos. Lo cual, su propósito es explorar las diversas
discrecionalidades en el control de acceso.
En esta modelo de Graham, existen 7 niveles de protección:
1) sin compartir en absoluto.
2) Intercambios de copias programas o archivos datos.
3) Compartir originales de programas o archivos de datos.
4) Compartir sistemas de programación o subsistemas.
5) Permitir la cooperación de mutuo sospechoso subsistema, por
ejemplo, la depuración del subsistema.
6) Proporcionar los sistemas de memoria-menos
7) Proporcionar subsistemas certificados.
10
ELEMENTOS EN GRAHAM-DENNING
Objetos: tienen un identificador único.
Sujeto:
Un sujeto en un par (proceso, dominio).
Forjar un identificador sujeto es imposible (autenticación).
Estado de protección:
Modelada usando una matriz de acceso (también puede
representarse como un gráfico).
No es modelado de accesos actuales (solo permisos de acceso):
Si esta es suficiente depende de las propiedades de ser estudiado.
DERECHOS ESPECIALES EN EL MODELO DE GRAHAM-DENNING
Cada derecho sujeto/objeto tiene un dueño.
Cada sujeto tiene un controlador.
Un derecho puede ser transferible o no transferible.
OCHO COMANDOS EN EL MODELO DE GRAHAM-DENNING
1. sujeto x crea objetos o
ninguna condición previa
agregar la columna para la o
colocar `propietario 'en A [x, o]
2. sujeto x crea s sujetos
ninguna condición previa
11
agregar filas y columnas para la s
colocar `control ',` propietario' en A [x, s]
3. sujeto x destruye objeto o
requisito: `propietario 'en A [x, o]
eliminar la columna o
4. sujeto x destruye s sujetos
requisito: `propietario 'en A [x, s]
eliminar filas y columnas para la s
5. sujeto x otorga un derecho r / r * en el objeto o para s sujetos
requisito: `propietario 'en A [x, o]
tiendas de r / r * en A [s, o]
6. sujeto x transfiere un derecho r / r * en el objeto o
a sujetos s
requisito: r * en A [x, o]
tiendas de r / r * en A [s, o]
7. sujeto x borra derecha r / r * en el objeto o de s sujetos
requisito: `control 'en A [x, s] o` propietario' en
A [x, o]
eliminar r / r * de A [s, o]
8. sujetas x cheques qué derechos s sujeto tiene el objeto o [w: = s leen, o]
requisito: `control 'en A [x, s] O` propietario' en
A [x, o]
copie A [s, o] para w
Esto no afecta el estado de protección. Funciones de revisión de políticas útil en el análisis de los comportamientos externos del sistema de protección, no está claro por qué se necesita en este papel.
OBJETIVOS DEL TRABAJO DE HRU
Proporciona un modelo lo suficientemente potente para codificar los métodos del control de acceso, y lo suficientemente precisas para que las propiedades de seguridad puedan ser analizadas. Esto ayuda a dar a conocer el Problema de seguridad, y demostrar dicho problema, lo cual nos lleva a que puede ser decidible en ciertos casos o indecidible de manera generar (o en ciertos casos monótona).
12
SISTEMAS DE PROTECCIÓN
Un sistema de protección tiene: Un finito conjunto de derechos genéricos R. Un conjunto finito de comandos C.
Un sistema de protección es un estado de sistema. Para modelar un sistema, especifique las siguientes constantes:
Conjunto de todos los sujetos posibles Conjunto de todos los objetos posibles
EL ESTADO DE UN SISTEMA DE PROTECCIÓN
Un conjunto de objetos O Un conjunto de sujetos que son subconjuntos de objetos. Una matriz de control de acceso:
Un fila para cada sujeto
Una columna para objeto
Cada celda contiene un derecho.
COMANDOS: EJEMPLOS
command GRANT_read(x1,x2,y) if `own’ in [x1,y] then enter `read’ into [x2,y] end command CREATE_object(x,y) create object y enter `own’ into [x,y] end
Sintaxis de un comando:
command a(X1, X2, …, Xk) if r1 in (Xs1, Xo1) and … and rm in (Xsm, Xom) then op1 … opn end
13
CRITERIO DE EVALUACION TCSEC
Trusted Computer System Criterios de evaluación es un Gobierno de los Estados Unidos Departamento de Defensa de la norma que establece los requisitos básicos para la evaluación de la eficacia de los controles de seguridad informática integrada en un sistema informático. El TCSEC se utilizó para evaluar, clasificar y seleccionar los sistemas informáticos que están siendo consideradas para la elaboración, el almacenamiento y recuperación de información sensible o clasificada.
El TCSEC, a menudo referido como el Libro Naranja, es la pieza central de la serie Rainbow publicaciones del Departamento de Defensa. Inicialmente publicado en 1983 por el Centro Nacional de Seguridad Informática, un brazo de la Agencia de Seguridad Nacional, y luego actualizó en 1985 - TCSEC fue reemplazado por el estándar internacional Common Criteria publicado originalmente en 2005.
OBJETIVOS Y REQUISITOS FUNDAMENTALES
El Libro Naranja o DODD 5200.28-STD fue cancelado por DODD 8500.1 el 24 de octubre de 2002.
POLÍTICA
La política de seguridad debe ser explícita y bien definida y ejecutada por el sistema informático. Hay dos políticas básicas de seguridad:
Política de seguridad obligatoria - Hace cumplir las normas de control de acceso basado directamente en el aclaramiento de la persona, la autorización para la información y el nivel de confidencialidad de la información que se busca. Otros factores indirectos son física y del medio ambiente. Esta política también debe reflejar con precisión las leyes, las políticas generales y otras orientaciones pertinentes de la que se derivan las reglas.
Etiquetado - Sistemas diseñados para hacer cumplir una política de seguridad obligatoria deben almacenar y conservar la integridad de las etiquetas de control de acceso y conservar las etiquetas si el objeto se exporta.
Política de Seguridad discrecional - Aplica un conjunto coherente de normas para el control y la limitación de acceso en función de los individuos identificados que se ha determinado que tienen la necesidad de conocer la información.
RESPONSABILIDAD
La responsabilidad individual, independientemente de la política debe ser aplicada. Un medio seguro debe existir para garantizar el acceso de un agente autorizado y competente que puede evaluar la información de la rendición de cuentas dentro de
14
un plazo de tiempo razonable y sin excesiva dificultad. Hay tres requisitos incluidos en el objetivo de rendición de cuentas:
Identificación - El proceso utilizado para reconocer a un usuario individual. Autenticación - La verificación de la autorización de un usuario individual a
categorías específicas de información. Auditoría - Auditoría de la información se debe mantener de manera
selectiva y protegida para que las acciones que afectan a la seguridad se remontan al individuo autenticado.
GARANTÍA
El sistema informático debe contener mecanismos de hardware/software que se pueden evaluar de forma independiente para ofrecer garantías suficientes de que el sistema hace cumplir los requisitos anteriores. Por extensión, la garantía debe incluir una garantía de que la parte de confianza de que el sistema sólo funciona según lo previsto. Para lograr estos objetivos, se necesitan dos tipos de seguridad con sus respectivos elementos:
Mecanismos de garantía Garantía de funcionamiento: Arquitectura del sistema, la integridad del
sistema, análisis de canal Covert, Facility Management confiable y recuperación de confianza
Aseguramiento del ciclo de vida: Pruebas de seguridad, características de diseño y verificación, gestión de la configuración y del sistema de distribución confiable
Garantía de protección continua - Los mecanismos de confianza que hacen cumplir estos requisitos básicos se debe proteger constantemente contra la manipulación y/o cambios no autorizados.
DOCUMENTACIÓN
Dentro de cada clase hay conjunto de documentación adicional que se ocupa del desarrollo, la implementación y la gestión del sistema en lugar de sus capacidades. Esta documentación incluye:
Características de seguridad Guía del usuario, manual de instalación confiable, documentación de prueba y documentación de diseño.
DIVISIONES Y CLASES
El TCSEC define cuatro divisiones: D, C, B y A, donde la división A tiene la más alta seguridad. Cada división representa una diferencia significativa en la confianza de un individuo u organización puede colocar en el sistema de evaluación. Además divisiones C, B y A se divide en una serie de subdivisiones jerárquicas llamadas clases: C1, C2, B1, B2, B3 y A1.
15
Cada división y de clase se expande o modifica según se indica los requisitos de la división o categoría inmediatamente anterior.
D - La protección mínima
Reservado para aquellos sistemas que han sido evaluados, pero que no cumplen con los requisitos para una división más alta
C - Protección Discrecional
C1 - Protección Seguridad discrecional o Identificación y autenticación o La separación de usuarios y los datos o Control de acceso discrecional capaz de hacer cumplir las
limitaciones de acceso de forma individual o Documentación requerida del sistema y manuales de usuario
C2 - Protección de acceso controlado o Más de grano fino DAC o La responsabilidad individual a través de procedimientos de inicio de
sesión o Las pistas de auditoría o Reutilización de objetos o Aislamiento de Recursos
B - Protección obligatoria
B1 - Protección de Seguridad Etiquetada o Declaración oficiosa del modelo de política de seguridad o Etiquetas de sensibilidad de datos o Control de acceso obligatorio sobre sujetos y objetos seleccionados o Capacidades de exportación etiquetas o Todos los defectos descubiertos deben ser retirados o mitigados de
otro modo o Especificaciones de diseño y verificación
Protección estructurado - B2 o Modelo de política de seguridad claramente definido y documentado
formalmente o DAC y ejecución MAC extenderse a todos los sujetos y objetos o Canales de almacenamiento Covert son analizados para la aparición
y el ancho de banda o Cuidadosamente estructurados en elementos de protección críticos y
no críticos protección o Diseño e implementación permiten a las pruebas más exhaustivo y
revisión o Los mecanismos de autenticación se fortalecen o Gestión de instalaciones fiables dispone de administrador y operador
de la segregación o Controles de gestión de la configuración Se imponen estrictos
B3 - Dominios de Seguridad
16
o Satisface los requisitos de monitores de referencia o Estructurado para excluir código no es esencial para la aplicación de
la política de seguridad o Ingeniería de sistemas significativo dirigido a minimizar la
complejidad o Función de administrador de seguridad define o Auditoría eventos relevantes para la seguridad o Detección automática inminente intrusión, la notificación y la
respuesta o Procedimientos de recuperación del sistema de confianza o Canales de tiempo Covert son analizados para la aparición y el
ancho de banda o Un ejemplo de tal sistema es la XTS-300, un precursor de la XTS-
400
A - Protección Verified
A1 - Diseño Verificado o Funcionalmente idéntica a B3 o Diseño formal y técnicas de verificación que incluye una
especificación formal de nivel superior o Procedimientos de gestión y distribución Formal o Un ejemplo de tal sistema es seguro del procesador de
comunicaciones SCOMP de Honeywell, un precursor de la XTS-400 Más allá de A1
o Arquitectura del sistema demuestra que los requisitos de auto-protección y la integridad de los monitores de referencia se han implementado en la base informática de confianza.
o Pruebas de seguridad genera de forma automática de casos de prueba a partir de la especificación de alto nivel formal o especificaciones de nivel inferior formales.
o Especificación y verificación es que la TCB se verifica a nivel de código fuente, utilizando métodos de verificación formal cuando sea posible.
o Entorno de diseño confiable es donde la TCB está diseñado en un centro de confianza con sólo el personal de confianza.
CLASES DE JUEGO A LOS REQUISITOS AMBIENTALES
Reglamento 380-19 del Ejército es un ejemplo de una guía para determinar qué clase de sistema se debe utilizar en una situación dada.
CRITERIO DE EVALUACION ITSEC
El ITSEC es un sistema estructurado de los criterios para la seguridad de
evaluación de la computadora dentro de productos y de sistemas.
17
El producto o el sistema que es evaluado, llamado blanco de la evaluación, se
sujeta a una examinación detallada de sus características de la seguridad que
culminan en la prueba funcional y de la penetración comprensiva e informada.
OBJETIVOS DE LA NORMA
El objetivo del proceso de evaluación es permitir al evaluador la preparación de un
informe imparcial en el que se indique si el sistema bajo estudio satisface o no su
meta de seguridad al nivel de confianza precisado por el nivel de evaluación
indicado.
Los criterios establecidos en ITSEC permiten seleccionar funciones de seguridad
arbitrarias (objetivos de seguridad que el sistema bajo estudio debe cumplir
teniendo presentes las leyes y reglamentaciones).
QUE ES LO QUE BUSCA LOGRAR
• Confidencialidad: Es decir la prevención de la declaración no autorizada de
la información.
• Integridad: Es decir la prevención a modificaciones no autorizadas de la
información
• Disponibilidad: La prevención del ocultamiento no autorizado de información
o recursos informáticos.
NIVELES DE SEGURIDAD
E0 Sistemas que no han implantado ninguna medida de seguridad
E1 Medidas discrecionales para proteger los datos de los intrusos
E2 sistemas en los que se exige palabras de acceso y se verifican con
auditorías
E3 Plan de seguridad. El control de acceso es obligatorio y un
responsable de seguridad debe decidir que cierta información sólo
pueda ser accedida por personas de confianza
E4 Sistemas más seguros. La auditoria es otra exigencia. Política de
seguridad estricta
E5 un plan detallado de procedimientos para recuperación
18
POSIBILIDADES DE IMPLEMENTACION
El proceso de evaluación incluye la certificación de que un producto software
específico verifica los siguientes aspectos:
Los requisitos del producto están definidos correctamente.
Los requisitos están implementados correctamente.
El proceso de desarrollo y documentación del producto cumple con ciertos
requisitos previamente establecidos.
CRITERIOS DE EVALUACION CC
Surgen como resultado de la armonización de los criterios sobre seguridad de
productos software ya utilizados por diferentes países con el fin de que el
resultado del proceso de evaluación pudiese ser aceptado en múltiples países.
Los CC permiten comparar los resultados entre evaluaciones de productos
independientes. Para ello, se proporcionan un conjunto común de requisitos
funcionales para los productos de TI (Tecnologías de la Información). Estos
productos pueden ser hardware, software o firmware. El proceso de evaluación
establece un nivel de confianza en el grado en el que el producto TI satisface la
funcionalidad de seguridad de estos productos y ha superado las medidas de
evaluación aplicadas. Los CC son útiles como guía para el desarrollo, evaluación o
adquisición de productos TI que incluyan alguna función de seguridad.
FUNCIONAMIENTO
Con el fin de poder certificar un producto según los Criterios Comunes se deben comprobar, por parte de uno de los laboratorios independientes aprobados, numerosos parámetros de seguridad que han sido consensuados y aceptados por 22 países de todo el mundo. El proceso de evaluación incluye la certificación de que un producto software específico verifica los siguientes aspectos:
Los requisitos del producto están definidos correctamente. Los requisitos están implementados correctamente. El proceso de desarrollo y documentación del producto cumple con ciertos
requisitos previamente establecidos.
Los Criterios Comunes establecen entonces un conjunto de requisitos para definir las funciones de seguridad de los productos y sistemas de Tecnologías de la Información y de los criterios para evaluar su seguridad. El proceso de evaluación, realizado según lo prescrito en los Criterios Comunes, garantiza que las funciones de seguridad de tales productos y sistemas reúnen los requisitos declarados. Así, los clientes pueden especificar la funcionalidad de seguridad de un producto en
19
términos de perfiles de protección estándares y de forma independiente seleccionar el nivel de confianza en la evaluación de un conjunto definido desde el EAL1 al EAL7.
PERFILES DE PROTECCION
Un conjunto de objetivos y requisitos de seguridad, independiente de la implantación, para un dominio o categoría de productos que cubre las necesidades de seguridad comunes a varios usuarios. Los perfiles de protección son reutilizables y normalmente públicos y están compuestos de:
Requisitos funcionales (SFR, Security Funcional Requirement) proporcionan mecanismos para hacer cumplir la política de seguridad. Como ejemplos de requisitos funcionales mencionar la protección de datos de usuario, el soporte criptográfico, la autenticación, la privacidad o el control de acceso.
Requisitos de confianza o aseguramiento (SAR, Security Assurance Requirement) proporcionan la base para la confianza en que un producto verifica sus objetivos de seguridad.
Los requisitos de confianza se han agrupado en niveles de confianza en la evaluación (EAL, Evaluation Assurance Levels) que contienen requisitos de confianza construidos específicamente en cada nivel. Los EALs proporcionan una escala incremental que equilibra el nivel de confianza obtenido con el coste y la viabilidad de adquisición de ese grado de confianza. El incremento de confianza de un EAL a otro se obtiene incrementando rigor, alcance y/o profundidad en el componente y añadiendo componentes de confianza de otras familias de confianza (por ejemplo, añadiendo nuevos requisitos funcionales).
LA NORMA ISO 17799 (27001)
Presenta normas, criterios y recomendaciones básicas para establecer
políticas de seguridad.
Estas van desde los conceptos de seguridad física hasta los de seguridad
lógica.
Parte de la norma elaborada por la BSI, British Standards Institution,
adoptada por International Standards Organization ISO y la International
Electronic Commission
IEC.
Documento de 70 páginas no de libre distribución.
Desde finales de 2005 estas normas se están revisando y cambiando de
numeración a partir del número 27001.
20
ISO 17799 es una norma internacional que ofrece recomendaciones para realizar
la gestión de la seguridad de la información dirigidas a los responsables de iniciar,
implantar o mantener la seguridad de una organización.
● ISO 17799 define la información como un activo que posee valor para la
organización y requiere por tanto de una protección adecuada. El objetivo de la
seguridad de la información es proteger adecuadamente este activo para asegurar
la continuidad del negocio, minimizar los daños a la organización y maximizar el
retorno de las inversiones y las oportunidades de negocio.
● La seguridad de la información se define como la preservación de:
– Confidencialidad. Aseguramiento de que la información es accesible sólo para
aquellos autorizados a tener acceso.
– Integridad. Garantía de la exactitud y completitud de la información y de los
métodos de su procesamiento.
– Disponibilidad. Aseguramiento de que los usuarios autorizados tienen acceso
cuando lo requieran a la información y sus activos asociados.
El objetivo de la norma ISO 17799 es proporcionar una base común para
desarrollar normas de seguridad dentro de las organizaciones y ser una práctica
eficaz de la gestión de la seguridad.
¿QUÉ ES LA ISO/IEC 27000? Es un conjunto de estándares en fase de desarrollo por la ISO e IEC, para la
gestión de la seguridad informática, que se utiliza en cualquier organización.
¿Para qué se utiliza?
Establece una metodología de gestión de seguridad clara y estructurada.
Reducir el riesgo de pérdida o robo de información.
Dar confianza a los clientes y socios estratégicos por la garantía de calidad
y confidencialidad comercial.
Dar la posibilidad de integrarse con otros sistemas de gestión
Dar una imagen de la empresa a nivel internacional
Reducir los costos y mejorar los procesos y servicios
Aumentar la motivación y satisfacción del personal.
21
NORMAS Y LEGISLACIÓN INFORMÁTICA INTERNACIONAL Instituciones de normalización:
Internacionales:
ITU-T.
ISO/IEC.
Europeas:
CEN/CENELEC.
ETSI.
NORMAS DE EVALUACIÓN Y CERTIFICACIÓN
Estadounidenses: TCSEC (libro naranja).
Europeos: ITSEC/ITSEM.
Internacionales: ISO/IEC 15408-1 (CC v2.1).
NORMAS Y LEGISLACIÓN INFORMÁTICA NACIONALES
FIRMA ELECTRÓNICA:
Infraestructura Extendida de Seguridad (IES) (Banco de México)
Circular Telefax 1/2002, de 2 de enero de 2002
Circular Telefax 19/2002, de 5 de julio de 2002
Circular Telefax 19/2002 bis, de 11 de julio de 2003
Protocolo de Comunicación de la IES -08/2003
Reformas al Código de Comercio -28/08/2003
Código Fiscal de la Federación -05/01/2004
Resolución Modificaciones a la Resolución Miscelánea Fiscal -31/05/2004
Leyes sobre el uso de medios electrónicos y firma electrónica de los
diversos Estados
Autorización otorgada al Servicio de Administración Tributaria para actuar
como prestador de Servicios de Certificación -21/09/2004
Decreto por el que se expide la Ley de Firma Electrónica del Distrito
Federal de 30 de octubre de 2009
Proyecto de ley de firma digital de 27 de enero de 2010
Decreto por el que se expide la Ley de Firma Electrónica Avanzada de 24
noviembre 2011 (DOF 11/01/2012)
22
Acuerdo de 27 de febrero de 2012, por el que se dan a conocer las Reglas
Generales para la gestión de trámites a través de medios de comunicación
electrónica presentados ante la Secretaría de Gobernación. (DOF
09/03/2012).
PROTECCIÓN DE DATOS PERSONALES:
Ley para regular las Sociedades de Información Crediticia -27/12/2001
(Diario Oficial de la Federación, 17 de enero 2002)
Propuesta de iniciativa de Ley Federal de Protección de Datos Personales -
14/02/2001
Propuesta de reformas al Art. 16 constitucional en materia de protección de
datos personales - 21/02/2001
Ley de Protección de Datos Distrito Federal, -26/08/2008 (Gaceta Oficial
del Distrito Federal nº 434, 3 octubre 2008)
Decreto por el que se expide la Ley Federal de Protección de Datos
Personales en Posesión de los Particulares y se reforman los artículos 3,
fracciones II y VII, y 33, así como la denominación del Capítulo II, del Título
Segundo de la Ley Federal de Transparencia y Acceso a la información
Pública Gubernamental - 27/04/2010 (Diario Oficial de la Federación, 5 de
julio 2010).
Leyes de Protección de Datos de los Estados Mexicanos
Reglamento de la Ley Federal de Protección de Datos Personales en
Posesión de los Particulares -19/12/2011 (Diario Oficial de la Federación,
21 diciembre 2011).
PROPUESTAS EN POLÍTICA INFORMÁTICA NACIONAL - SECTORES SOCIAL Y
PRIVADO:
Peritos en Informática
Federación de Asociaciones Mexicanas en Informática, A.C.
Cámara Nacional de la Industria Electrónica de Telecomunicaciones e
Informática, A.C.
Consejo Mexicano de la Industria de Productos de Consumo
Asociación Mexicana de Estándares para el Comercio Electrónico, A.C.
Banco Bilbao Vizcaya A / Bancomer, S.A.
Asociación Mexicana de la Industria de Tecnologías de la Información, A.C.
(Jurídica, 2014).
23
CONCLUSION
En el presente trabajo, se vieron varios temas, que abarcaron ciertos modelos,
Estándares, Normas, etc.; que en cierto modo cada uno de ellos tiene un
propósito de acuerdo a la confidencialidad, integridad, disponibilidad y autorización
de la información.
Modelos como Bell-LaPadula que su propósito es la confidencialidad, y el de
Clark-Wilson que es la integridad de los datos, pero más allá de eso, no solo nos
preocupa la información, sino también el cómo se hace uso de esta misma,
quienes son los que pueden accesar a ella, etc. Para ello, tales como los sistemas
informáticos (softwares, S.O), tienen que tienen que estar totalmente certificados
de que puedan dar esta seguridad a los datos.
Volviendo a retomar lo visto, también el poder tener ciertos niveles o clases de
acceso, para aquellas personas, a las cuales se les concede ciertos permisos para
ver la información o modificar esta misma, es otra de las medidas de seguridad ya
mencionadas; el poder restringir que ciertos grupos de usuarios no interfieran con
otros usuarios en la información, fue otro de los puntos ya mencionados.
Como último, podemos hacer referencia a los estándares 27000 que se encargan
de la gestión de la seguridad de la información, al igual el estándar 17799, ya que
estos dos, son los principales que se utilizan para hacer una buena auditoria en
las grandes organización o empresas para realizar una buena auditoria, si es que
cumplen con estos estándares.