Tema 3. Arquitectura y Diseño de Seguridad

Transcripción

Tema 3. Arquitectura y Diseño de Seguridad
Seguridad Informática
Francisco Medina López —
[email protected]
http://aulavirtual.capacitacionentics.com
Facultad de Contadurı́a y Administración
Universidad Nacional Autónoma de México
2015-1
Agenda
1 Arquitectura de Computadoras
2 Mecanismos de Protección
3 Modos de Seguridad
4 Modelos de Seguridad
5 Guı́as de Evaluación
6 Certificación y Acreditación
7 Amenazas y Ataques
Arquitectura de Computadoras
Introducción
Hardware
Firmware
Software
Introducción
Introducción
Hardware
Firmware
Software
Introducción
Arquitectura y Sistema de Cómputo
Disciplina de la Ingenierı́a, relacionada con el diseño y la
construcción de sistemas de cómputo a nivel lógico.
Arquitectura de Cómputo
Comprende la estructura de un sistema de cómputo.
Sistema de Cómputo
Conjunto formado por hardware, firmware, software, medios de
almacenamiento, datos o información y personas involucradas.
Introducción
La Arquitectura de Computadoras comprende todas y cada una de
las partes necesarias para que un sistema de computo funcione,
esto incluye:
Sistema Operativo
Chips de Memoria
Circuitos
Discos Duros
Componentes de Seguridad
Conexiones Bus
Componentes de Red
Etc.
Introducción
Computadora vs Servidor
Computadora
Máquina digital programable.
Servidor
En una red cliente/servidor, son los equipos que proveen
información (datos) y servicios (impresión de documentos,
transferencia de archivos, correo electrónico,...) a las estaciones de
trabajo (clientes).
Hardware
Introducción
Hardware
Firmware
Software
Hardware
Hardware
Definición
Conjunto de componentes tangibles (o fı́sicos) de una
computadora. 1
Componentes principales de la plataforma de hardware en la
Arquitectura de Computadoras:
CPU (Unidad Central de Procesamiento)
Memoria
Bus de conexiones
Dispositivos de Entrada/ Salida (I/O)
Dispositivos de Almacenamiento
1
http://www.carlospes.com/minidiccionario/hardware.php
Hardware
CPU
Unidad Central de Proceso (CPU)
También conocido como procesador, es el componente en una
computadora digital que interpreta las instrucciones y procesa los
datos contenidos en los programas de la computadora. 2
Contiene:
1
Almacenamiento primario (Registros)
2
Unidad de Control (UC)
3
Unidad de Aritmético Lógica (ALU)
4
Unidad de Administración de Memoria (MMU)
2
http://es.wikipedia.org/wiki/Unidad_central_de_procesamiento
Hardware
Componentes principales del CPU
1
Almacenamiento primario
Registros3 que almacenan instrucciones y datos que van a ser
procesados
2
Unidad de Control
Coordina la actividad durante la ejecución de instrucciones de
un programa
No procesa datos, solo controla los procesos que se están
ejecutando
3
Unidad de Aritmético Lógica
Realiza operaciones matemáticas y lógicas
4
MMU
Manipula direcciones y catálogos de datos almacenados en
memoria además de convertir las direcciones lógicas en fı́sicas
3
Memoria intermedia
Hardware
Caracterı́sticas principales de un Procesador
Reducido SET de instrucciones
MIPS (Millones de Instrucciones por Segundo)
Hardware
Estructura interna de un Procesador
UC (Unidad de Control): La Unidad de Control es la
encargada de gestionar y controlar el correcto
funcionamiento de la Unidad de Proceso, indicando
cuando una instrucción debe ser enviada al
procesador. La UC no procesa datos, tan solo actúa
como agente de tránsito.
UP (Unidad de Proceso): Formada por componentes
tales como: la ALU, Registros, y buses.
ALU (Unidad Aritmético-Lógica): Encargada de
llevar a cabo funciones matemáticas y operaciones
lógicas.
Registros: Almacenan datos durante cierto tiempo,
dentro la CPU.
Bus: Conjunto de circuitos y conectores
”Podrı́amos decir que la ALU
es el cerebro del procesador, y
el procesador el cerebro de la
computadora.”
Hardware
Operación Básica de un Procesador
La operación de un procesador consiste básicamente en dos
fases: obtener (fetch) y ejecutar (execute).
Durante la fase de obtención, la CPU localiza y recupera las
instrucciones de memoria.
Durante la fase de ejecución, la CPU decodifica y ejecuta las
instrucciones.
Estas dos fases componen lo que se llama ciclo de reloj (clock
singals).
A los programas ejecutados por el procesador se llaman
procesos.
Hardware
Estados del procesador
La CPU, se encuentra siempre en alguno de los siguientes estados
principales:
User State En este estado, solo pueden ser ejecutadas
instrucciones no- privilegiadas.
Supervisor State / Privileged Mode En este estado,
pueden ser ejecutadas tanto instrucciones no-privilegiadas
como privilegiadas.
Hardware
Procesos
Un proceso es un programa en ejecución, el cual se encuentra
compuesto de código ejecutable, datos e información relativa
su ejecución.
Un proceso trabaja en su propio espacio de direcciones y
puede comunicarse con otros procesos, solo a través de pasos
autorizados por el sistema operativo.
Los “estados de un proceso” no es lo mismo que los “estados
de la CPU”. Mientras que los “estados de la CPU” define el
modo operativo de la CPU, los “estados de un proceso” se
refiere al modo en que los procesos se encuentran corriendo
dentro de esta.
El estado de los procesos o “Process State”, es particular de
cada sistema operativo. Ready, Waiting, Running y Stopped
son solo algunos de los estados mas comúnmente encontrados.
Hardware
Procesos vs Hilos
Un proceso es un programa en ejecución que posee su propio
espacio de trabajo, y solo puede comunicarse con otro proceso de
modo controlado.
Un Thread en cambio, representa una pieza de código que esta
siendo ejecutada dentro de un proceso.
Un proceso puede incluir uno o mas Threads.
Hardware
Estados de un proceso
Detenido
El proceso no se encuentra en ejecución
Pudo haber sido detenido por el sistema operativo o un usuario
En espera
El proceso se encuentra esperando por una interrupción
(generalmente de IO) que le permita ser de nuevo procesado
por la CPU
Estas interrupciones permiten compartir el tiempo de
procesamiento de la CPU
En ejecución
Las instrucciones del proceso están siendo ejecutadas por la
CPU
Se le conoce también como tiempo de ejecución
Listo
El proceso listo para ser utilizado y a la espera de una
instrucción
Hardware
Estados de un proceso
Hardware
Diseños de CPU
Actualmente existen dos tipos de diseños ampliamente extendidos:
Complex-Instruction-Set-Computing (CISC): Conjunto de
instrucciones que se caracteriza por ser muy amplio y permitir
operaciones complejas entre operandos situados en la
memoria o en los registros internos
Reduced-Instruction-Set-Computing (RISC): Filosofı́a de
diseño de CPU que está a favor de conjuntos de instrucciones
pequeñas y simples que toman menor tiempo para ejecutarse.
Cuando se ejecuta un programa difı́cil, o extenso, los CISC son más
rápidos y eficaces que los RISC. En cambio cuando se tiene en
ejecución un conjunto de instrucciones sencillas, cortas y simples,
los RISC son más rápidos.
Hardware
Caracterı́sticas de la CPU
Scalar Processor: Procesador que ejecuta una instrucción
por vez.
Superscalar Processor: Procesador que permite la ejecución
de varias instrucciones en la misma etapa del pipeline, como
ası́ también en diferentes etapas de pipeline. (IBM RS/6000)
Multitasking: Ejecución de dos o mas tareas al mismo
tiempo utilizando un solo CPU. Coordinado por el SO
(Windows 2000, Linux, OS/3
Hardware
Caracterı́sticas de la CPU (II)
Multiprogramming: Ejecución simultánea de dos o más
programas utilizando un solo CPU.
A diferencia de lo que ocurre con Multitasking, cuya
implementación suele encontrarse en sistemas operativos de
PC tales como Linux y Windows, Multiprogramming suele
encontrarse generalmente en mainframes o sistemas legacy.4
Multitasking es normalmente coordinado por el sistema
operativo, mientras que Multiprogramming requiere que el
software se encuentre especialmente escrito para coordinar sus
propias acciones a través del sistema operativo.
4
Un sistema heredado (o sistema legacy) es un sistema informático (equipos informáticos y/o aplicaciones)
que ha quedado anticuado pero continúa siendo utilizado por el usuario (tı́picamente una organización o empresa) y
no se quiere o no se puede reemplazar o actualizar de forma sencilla.
Hardware
Caracterı́sticas de la CPU (III)
Multiprocessing: Ejecución simultánea de dos o más
programas en múltiples CPUs.
SMP (Symmetric Multiprocessing) Una computadora, con
mas de un procesador, controlado por un solo sistema
operativo (Bus de Datos y Memoria Compartidos).
MPP (Massively Parallel Processing) Cientos o miles de
procesadores, cada uno de los cuales utiliza su propio juego de
recursos (sistema operativo, bus de datos y memoria).
Hardware
Caracterı́sticas de la CPU (IV)
Multithreading: Ejecución de múltiples tareas al mismo
tiempo utilizando un solo CPU. A diferencia de lo que ocurre
con Multitasking donde las diferentes tareas ocupan diferentes
“procesos”, Multithreading permite ejecutar varias tareas en
un solo “proceso”.
Quizás un buen ejemplo de Multithreading, sea cuando
abrimos varios documentos de Word, lo cual no genera
múltiples instancias de Word, precisamente porque todas ellas
corren en un solo proceso utilizando diferentes hilos.
Hardware
Memorias
Cache
Flash Memory
RAM (Random Access Memory)
Dynamic Random Access Memory (DRAM)
Extended Data Output RAM (EDO RAM)
Synchronous DRAM (SDRAM)
Double Data Rate SDRAM (DDR SDRAM)
Burst Extended Data Output DRAM (BEDO DRAM)
ROM (Read Only Memory)
Programmable Read Only Memory (PROM)
Erasable Programmable Read-Only Memory (EPROM)
Electrically Erasable Programmable Read-Only Memory
(EEPROM)
Hardware
Memorias (II)
Memoria Primaria (Real Memory – Primary Storage)
Directamente accesible por la CPU y frecuentemente utilizada
al momento de almacenar datos e instrucciones asociados con
el programa que se encuentra en ejecución. Generalmente
RAM.
Memoria Secundaria (Secondary Storage)
Almacenamiento no volátil, mas lento que la memoria
primaria. Ejemplo: Discos Duros, CDs, DVDs, Floppys.
Memoria Virtual (Virtual Memory – Virtual Storage)
Combinación de memoria primaria y secundaria. Define un
único espacio de direccionamiento. Habilidad para extender el
tamaño aparente de la memoria RAM usando parte del disco
rı́gido. (Swapping / Paging)
Hardware
Jerarquı́a de acceso a memoria
Hardware
Direccionamiento de Memoria
Cuando se utilizan recursos de memoria, el procesador debe
tener alguna forma de referirse a los diferentes lugares
existentes dentro de ella. La solución a este problema, se
conoce como “Direccionamiento” por su termino en ingles
“Addressing”.
Tipos:
Por Registro (Register Addressing)
Directo (Direct Addressing)
Absoluto (Absolute Addressing)
Indexado (Indexed Addressing)
Implı́cito (Implied Addressing)
Indirecto (Indirect Addressing)
Hardware
Protección de Memoria
Previene el acceso de un programa al espacio de memoria
reservado para otro programa
Se implanta a nivel de sistema operativo o hardware
Hardware
Estructura de E/S
Input/Output (I/O) interface adapters: Permiten la
comunicación entre el procesador y los dispositivos externos
Memory-Mapped I/O: Se otorga una dirección de memoria
“central” al dispositivo
Isolated I/O: Una señal especial en el bus de comunicación
indica la ejecución de una operación de I/O. No utiliza
memoria “central”
Direct Memory Access (DMA): Data es transferida en
forma directa desde y hacia la memoria, no requiere del CPU
Interrupt Processing: Una señal externa interrumpe el flujo
normal del programa para requerir servicio
Hardware
Bus
Bus: Circuitos impresos (o bien cables) que transmiten los
datos del procesador.
de transmisión de datos: lı́neas fı́sicas por dónde circulan los
datos que se han leı́do o que se van a escribir (entrada/salida).
de direcciones: lı́neas fı́sicas por dónde circulan las
direcciones de memoria desde dónde se leerán (entrada), o se
escribirán (salida), los datos.
de control: lı́neas fı́sicas por dónde circulan las órdenes de
control (entrada/salida).
Firmware
Introducción
Hardware
Firmware
Software
Firmware
Firmware
Definción
Bloque de instrucciones de programa para propósitos especı́ficos,
grabado en una memoria de tipo no volátil (ROM, EEPROM,
flash,...), que establece la lógica de más bajo nivel que controla los
circuitos electrónicos de un dispositivo de cualquier tipo.
Al estar integrado en la electrónica del dispositivo es en parte
hardware, pero también es software, ya que proporciona lógica y se
dispone en algún tipo de lenguaje de programación. 5
5
http://www.carlospes.com/minidiccionario/software.php
Software
Introducción
Hardware
Firmware
Software
Software
Definición
Software
Conjunto de programas y datos con los que trabaja una
computadora el cual es inmaterial (o lógico).6
6
http://www.carlospes.com/minidiccionario/software.php
Software
Clasificación del Software
1
Programas de sistema (software de sistema):controlan la
operación de la computadora.
Compiladores
Sistema Operativo
2
Programas de aplicación (software de aplicación): resuelven
problemas para los usuarios.
RDBMS
Sistemas
Juegos
Software
Sistema Operativo
Sirve de intermediario (interfaz) entre los programas y la
computadora. Se puede definir de dos formas ligadas a sus
objetivos.
Software
Sistema Operativo (II)
Software principal de toda plataforma de computo.
Este es cargado en la computadora por medio de un programa
denominado Boot, nombre con el que solemos referirnos al
proceso responsable de la carga del sistema operativo.
Grandes computadoras o mainframes, utilizan una secuencia
boot conocida como IPL (Initial Program Load).
Durante toda secuencia de booteo, un pequeño programa es
cargado en memoria, el cual una vez inicializado realiza la
carga total del sistema operativo.
Una vez en ejecución, el sistema operativo es el responsable
de controlar varios subsistemas tales como las utilidades de
software, aplicaciones, sistemas de archivos, control de acceso,
etc.
Software
Sistema Operativo (III)
Todo sistema operativo persigue dos objetivos principales:
Controlar el uso de los sistemas y recursos.
Proveer de una interfaz entre usuario y computador (máquina
extendida)
Como administrador de recursos
Es el encargado de proporcionar una asignación ordenada y
controlada de los recursos (CPU, memoria y disco) para los varios
programas que compiten por ellos.
Como máquina extendida
Es el encargado de presentar al usuario el equivalente de un
máquina virtual o extendida que sea más fácil de programar que el
hardware subyacente.
Software
Sistemas Abiertos y Cerrados
Los sistemas pueden ser desarrollados de forma tal de que resulte
sencilla su integración con otros sistemas (Open), o pueden ser
desarrollados con una naturaleza mas propietaria (Closed)
construidos para funcionar solo con un sub-grupo de otros sistemas
o productos
Software
Sistemas Abiertos y Cerrados (II)
Sistema Abierto
Aquel sistema independiente del fabricante que cumple con ciertos
estándares públicos y generalmente aceptados.
Promueven la interoperabilidad y compatibilidad entre
sistemas y componentes fabricados por distintos fabricantes.
Pueden ser evaluados de manera independiente.
Sistema Cerrado
Aquel que usa hardware/software propietario que puede o no ser
compatible con otros sistemas o componentes.
El código fuente de los programas generalmente no esta a
disposición del público.
Software
Hardware, Firmware y Software
Mecanismos de Protección
Trusted Computing Base (TCB)
Monitor de Referencia
Kernel de Seguridad
Protection Rings
Layering
Data Hiding
Kernel de Seguridad
Protection Rings
Layering
Data Hiding
Definiciones
Base segura o fiable de cómputo (TCB)7 es la combinación de
todos mecanismos de protección en un sistema de cómputo,
incluyendo hardware, firmware y software, responsables de
aplicar una polı́tica de seguridad 8 .
7
Termino acuñado en el libro naranja formalmente conocido como (Trusted
Computer System Evaluation Criteria (TCSEC))
8
http://www.rediris.es/cert/doc/unixsec/node36.html
Kernel de Seguridad
Protection Rings
Layering
Data Hiding
Definiciones
Es un modelo abstracto que define las reglas de acceso de un
sujeto a un objeto.
Controla el acceso de sujetos (Subject, Sujeto, Asunto,
Personas) a recursos (Object, Objeto, Información).
Concepto abstracto, implementado en Security Kernel.
Kernel de Seguridad
Kernel de Seguridad
Protection Rings
Layering
Data Hiding
Kernel de Seguridad
Definiciones
Kernel de Seguridad
Parte del TCB que implementa y asegura el concepto del
Reference Monitor. Se compone de hardware, firmware y software.
Analiza todos los intentos de acceso de los sujetos a los objetos.
Es responsable por mediar entre los accesos de sujetos a objetos;
estar protegido de modificaciones; ser verificable como correcto.
Pequerimientos para el Kernel Seguro
Aislamiento del proceso.
Intermediario. Imposible de esquivar.
De funcionamiento verificable.
Pequeño para ser verificado en su totalidad en forma confiable.
Kernel de Windows Vista
Kernel de Seguridad
Kernel Seguro
Protection Rings
Kernel de Seguridad
Protection Rings
Layering
Data Hiding
Protection Rings
Definiciones
Protection Domain
Conjunto de objetos que un sujeto es capaz de acceder. Los
dominios deben ser identificados, separados y asegurados.
Security Perimeter
Lı́nea que separa el TCB del resto del sistema (Todos los
elementos que se encuentra más allá del control de TCB se los
denomina externos al perı́metro de seguridad).
Resource Isolation
Principio que dicta que sujetos, objetos y controles; deben
encontrarse correctamente aislados unos de otros. Requerimiento
básico de toda arquitectura y modelo de seguridad.
Protection Rings
Protection Rings
Se organizan con el dominio mas privilegiado localizado en el
anillo del centro y el de menor privilegio en el anillo mas
alejado del mismo.
En el anillo 0 usualmente se encuentra el “Kernel” del sistema
operativo.
Un sujeto en el anillo 3, no puede acceder directamente un
objeto situado en el anillo 1, pero un sujeto en el anillo 1 si
puede acceder directamente un objeto situado en el anillo 3.
Las entidades, solo pueden acceder objetos dentro de su
propio anillo o a uno superior.
Protection Rings
Protection Rings (II)
Anillo 0: Kernel/Memoria
(Componentes Residentes)
Anillo 1: Otros componentes del
sistema operativo
Anillo 2: Controladores,
Protocoles, etc
Anillo 3: Programas y
Aplicaciones de Nivel Usuario
Anillo 0-2: Modo supervisor o
protegido
Anillo 3 Se ejecuta en modo
usuario
Layering
Kernel de Seguridad
Protection Rings
Layering
Data Hiding
Layering
Definición
Data Hiding
Kernel de Seguridad
Protection Rings
Layering
Data Hiding
Data Hiding
Definición
Data Hiding
Importante caracterı́stica de la seguridad multinivel.
Este principio asegura que los datos existentes en un nivel de
seguridad, no son visibles a procesos que se ejecutan en un
nivel diferente.
El concepto clave detrás de Data Hiding, es el de asegurar que
quienes no tengan Need-to-Know respecto del detalle
involucrado en el acceso y procesamiento de datos en un
determinado nivel, no tenga forma de deducir, observar u
aprender el mismo.
Modos de Seguridad
Antecedentes
Dedicated Security Mode
System High Security Mode
Multi-Level Security Mode (MLS)
Compartmentalized Security Mode (Partitioned)
Modos de Seguridad
Antecedentes
Antecedentes
Modos de Seguridad
Antecedentes
Historia
Históricamente, los requerimientos de seguridad han sido
satisfechos por medio del uso contramedidas relacionadas con
aspectos fı́sicos, de las personas, y de la información en si
misma.
Con los avances en tecnologı́a, es posible implementar
contramedidas, ya no solo en el entorno, sino también en el
mismo sistema.
El gobierno de los EEUU ha designado cuatro modos de
seguridad a partir de los cuales puede ser posible procesar
información clasificada.
El modo de operación, describe las condiciones de seguridad
bajo las cuales el sistema realmente debe funcionar.
Modos de Seguridad
Antecedentes
Clasificación de la Información
Un sistema puede operar en diferentes modos, dependiendo de
la sensibilidad de los datos que en el mismo han de ser
procesados, el nivel de separación de los usuarios (Clearance
Level/Clasificación de la Información) y lo que estos usuarios
se encuentran en condiciones de hacer.
El nivel o modo de seguridad de computo requerido en un
sistema, depende de la evaluación del riesgo y la naturaleza
del entorno.
Modos de Seguridad
Antecedentes
Need to Know
Definición
Need to Know Access (Otorgar acceso solo a lo necesario) es un
esquema de autorización de acceso, en el cual los derechos de
acceso a un objeto por parte de un sujeto, son otorgados tomando
en consideración, no solo el nivel de privilegio que el mismo posee,
sino también la relevancia del dato involucrado en la tarea que el
sujeto debe realizar.
Need to Know indica que el sujeto requiere acceso al objeto a
fin de poder realizar su trabajo.
Aun teniendo el nivel de privilegio adecuado, quienes no
tengan Need to know, no deben ser capaces de acceder el
objeto en cuestión.
Modos de Seguridad
Antecedentes
Modos de Seguridad
Definición
Modo de Seguridad Dedicado
Todos los usuarios están autorizados y tienen “need-toknow” de
la información que es procesada por el sistema.
Muchos sistemas militares han sido diseñados para manejar un
nivel de seguridad en modo dedicado.
En este modelo, cada uno de los usuarios que acceden al
sistema debe poseer un alto nivel de autorización(clearance).
Si un sistema maneja información clasificada como TOP
SECRET, solo usuarios con este nivel de autorización podrán
acceder el mismo.
Modos de Seguridad
Antecedentes
Modos de Seguridad
Definición
Todos los usuarios del sistema tienen permitido y aprobado la
posibilidad de ver la información dentro del sistema, pero no
necesariamente necesitan conocer la misma (tı́picamente militar).
Todos los usuarios tienen “need-to-know” sobre ALGUNOS de
los datos.
Al igual que en el modelo anterior, en este cada uno de los
usuarios que acceden al sistema debe poseer un alto nivel de
autorización, sin embargo un usuario puede tener acceso
restringido a información para la cual no tiene “need-toknow”.
Modos de Seguridad
Antecedentes
Modos de Seguridad
Definición
Este modo de operación, permite que dos o mas niveles de
clasificación, sean utilizados en forma simultanea.
No todo el personal que tiene acceso al sistema tiene la
aprobación ni la necesidad de conocer para toda la
información dentro del sistema.
Modos de Seguridad
Antecedentes
Modos de Seguridad
Definición
Un sistema se encuentra operando en Compartmented Security
Mode, cuando todos los usuarios tienen autorización respecto de la
totalidad de la información procesada por el sistema, pero no todos
tienen la need-to-know.
En este modo, se establecen restricciones de acceso a los
usuarios, sobre la porción de información para la que no existe
need-to-know. De esta forma, los usuarios terminan
accediendo únicamente a un segmento, partición o
compartment de datos.
En un sistema acorde al Compartmentalized Security Mode,
algunos necesitan conocer la información, otros no.
Los usuarios del sistema deben cumplir con los requerimientos
para el área o partición a la que desean acceder.
Modelos de Seguridad
Introducción
Bell-LaPadula
Biba
Clark & Wilson
Otros Modelos
Introducción
Introducción
Bell-LaPadula
Biba
Clark & Wilson
Otros Modelos
Introducción
Caracterı́sticas
“Los modelos de seguridad son un concepto importante en el
análisis y diseño de sistemas de computo seguro”
.
Provee un framework dentro del cual puede ser
implementada una polı́tica de seguridad.
Define los lineamientos necesarios para implementar y
soportar la polı́tica de seguridad.
Provee los lineamientos y directivas que deben cumplir los
desarrollos de hardware y software, motivo por el cual solemos
referirnos a estos como la representación simbólica de una
polı́tica de seguridad en un conjunto de reglas que pueden ser
seguidas por una computadora.
Introducción
Polı́tica vs Modelo de Seguridad
Mientras que una polı́tica de seguridad es generalmente un
conjunto de directivas o intenciones abstractas, un modelo de
seguridad representa exactamente el modo en el cual la polı́tica
deberı́a ser implementada.
Las polı́ticas de seguridad proveen los objetivos abstractos y el
modelo de seguridad provee las reglas necesarias para cumplir con
dichos objetivos.
Introducción
Implementación
En la actualidad, los modelos formales de seguridad han quedado
algo relegados respecto de la cambiante dinámica de negocios con
la cual convivimos a diario.
Siendo rigoristas, si bien los mismos aún permiten establecer
parámetros generales, a nivel práctico solo pueden ser
implementados parcialmente.
Conceptos tales como: Firewall, Troyanos o Worms, no se
encuentran contemplados en los denominados modelos formales
Bell-LaPadula
Introducción
Bell-LaPadula
Biba
Clark & Wilson
Otros Modelos
Bell-LaPadula
Introducción
Descripción formal de los flujos de información permitidos
dentro de un sistema seguro.
Se utiliza para definir requerimientos de seguridad para
sistemas que deben administrar datos a diferentes niveles de
sensitividad.
*-Property (propiedad estrella) – previene el write-down,
Sujetos pertenecientes a niveles de acceso superiores no
pueden escribir información en objetos de niveles de
sensibilizad inferiores. Evita el filtrado de información sensitiva
a niveles menos seguros.
Bell-LaPadula
Modo de Operación
Bell-LaPadula
Caracterı́sticas
El modelo define un estado seguro (secure state)
El acceso entre sujetos y objetos respeta una polı́tica de
seguridad especı́fica.
TCSEC es una implantación de Bell-LaPadula
Solo aplica a la sensibilizad (nivel de confidencialidad/secreto)
de la información.
Tal vez el modelo mas representativo respecto de
ambientes militares.
Bell-LaPadula
Resumen
Bell-Lapadula
Orientado a mantener la confidencialidad.
Reglas de Operación:
simple-rule (no read up) = espionaje
*-rule (no write down) = divulgación
strong-*-rule : si se posee la capacidad de read y write sólo se
pueden realizar estas funciones en el mismo nivel.
Biba
Introducción
Bell-LaPadula
Biba
Clark & Wilson
Otros Modelos
Biba
Introducción
El modelo Biba cubre niveles de integridad, los cuales son
análogos a los niveles de sensitividad del modelo
Bell-LaPadula.
Los niveles de integridad cubren la modificación impropia de
datos.
Tal vez el modelo mas representativo respecto de
ambientes comerciales.
Previene que usuarios no autorizados realicen modificaciones
(1er objetivo de integridad)
Modelo Read Up, Write Down
Los sujetos no pueden leer objetos de integridad inferior, y no
pueden escribir objetos de integridad superior.
Biba
Modo de Operación
Biba
Resumen
Biba
Orientado a asegurar la Integridad
Reglas de Operación:
simple-rule: no read down = evitar las fuentes dudosas.
*-rule: no write up = no contaminar otros documentos.
Clark & Wilson
Introducción
Bell-LaPadula
Biba
Clark & Wilson
Otros Modelos
Clark & Wilson
Introducción
Al igual que Biba, este modelo se encuentra orientado a
proteger la integridad de la información.
Cumple con los principales objetivos de un modelo de
integridad:
Previene las modificaciones por parte de usuarios no
autorizados. (T – Tamper).
Previene que usuarios autorizados realicen modificaciones
impropias.
Mantiene la consistencia interna y externa. (C – Consistencia)
Refuerza el concepto de auditoria.
Todas las las modificaciones deben ser registradas (L - Logged)
Clark & Wilson
Well Formed Transactions
Propone “Well Formed Transactions”
Una WFT no es mas que una serie de operaciones que
permiten la transferencia de datos de un estado seguro a otro
estado seguro.
Algunos de los principios relacionados con WFT son:
Ejecución de tareas en forma ordenada.
Ejecución exacta de las tareas definidas.
Autenticación de los individuos que ejecutan las tareas.
El modelo Clark & Wilson, incorpora la separación de tareas
(separation of duties) dentro de la arquitectura de una
aplicación. Es decir, provee las reglas que los desarrolladores
deben seguir a efectos de reforzar este principio a través de
procedimientos de software.
Clark & Wilson
Modo de Operación
Clark & Wilson
Resumen
Biba
Orientado a asegurar la Integridad
Conceptos Clave:
Access Triple = Subject -> Application (SW)-> Object
Auditing = Aplicación logueando accesos
Separation of Duties = Separación de tareas.
Otros Modelos
Introducción
Bell-LaPadula
Biba
Clark & Wilson
Otros Modelos
Otros Modelos
Modelo de máquina de estados(State Machine Model)
Definición
Modelo matemático abstracto que se compone de variables de
estado y funciones de transición entre estados.
La mayorı́a de los modelos formales de seguridad, incluyendo
Bell-LaPadula y Biba, se consideran derivados de este
modelo.
Otros Modelos
Modelo de flujo de información (Information Flow Model)
Definición
Simplifica el análisis de covert channels. Cuando Information Flow
Model es utilizado, un sistema es seguro si todo flujo de
información ilegal no es permitido.
Bell-LaPadula es un modelo de IF que asegura que la
información no pueda fluir de un compartimiento a otro en
forma que afecte la confidencialidad. Biba define
compartimientos de datos basado en niveles de integridad,
implementando de este modo, un modelo de IF que proteja la
integridad de la información mas confiable.
Otros Modelos
Modelo de no-interferencia
Definición
Cubre aquellos casos en los que se necesita prevenir que sujetos
que operan en un determinado dominio puedan afectarse entre sı́
violando la polı́tica de seguridad (Actividades realizadas sobre un
nivel de seguridad no deberı́an afectar o ser vistas, por sujetos u
objetos en un nivel de seguridad diferente).
De utilización tı́pica en sistemas multi-nivel.
Su principal propósito no es otro que el de combatir ataques
de inferencia y de covert channels.
Otros Modelos
Modelo de Matriz de Accesos(Access Matrix Model)
Definición
Es un modelo de máquina de estados aplicado a un ambiente DAC
(Discretionary Access Control). Decisiones de acceso, son basadas
en ACLs de objetos y tablas de capacidades del sujeto.
Guı́as de Evaluación
Introducción
TCSEC
ITSEC
CC
Introducción
Introducción
TCSEC
ITSEC
CC
Introducción
Antecedentes
El proceso de determinar cuan seguro es un sistema puede ser
una tarea difı́cil.
Las organizaciones necesitan métodos para evaluar el grado de
seguridad otorgado por tal o cual sistema, y de este modo
determinar si el mismo resuelve los requisitos impuestos por la
polı́tica de seguridad implementada.
Una guı́a de evaluación, deberı́a ser lo suficientemente general
en sus principios, de modo tal que la misma sirva a los efectos
de comparar diferentes tipos de sistemas y otorgar a los
mismos una clasificación de acuerdo al nivel de seguridad que
presentan.
Introducción
Antecedentes
Inicialmente, el concepto detrás de la confección de una Guı́a
de Evaluación, se encuentra ı́ntimamente relacionado con la
necesidad por parte de las agencias de seguridad, el gobierno,
y las organizaciones privadas, de conocer el nivel o grado de
seguridad, existente en los diferentes sistemas, aplicaciones o
productos al momento de efectuar una compra o contratación.
TCSEC
Introducción
TCSEC
ITSEC
CC
TCSEC
Trusted Computer Systems Evaluation Criteria
En 1985 el “National Computer Security Center” (NCSC),
desarrolla para el “Departamento de Defensa de los EEUU”
(DoD), un conjunto de estándares, los cuales resultan en la
creación de TCSEC (Trusted Computer System Evaluation
Criteria).
El principal objetivo detrás de la creación de TCSEC es el de
proveer al gobierno y entidades relacionadas, con un guı́a que
les permitiera evaluar los productos ofrecidos por los
diferentes proveedores, para cada uno de los criterios de
seguridad especificados.
TCSEC
TCSEC == “Orange Book”
TCSEC provee:
Una base para establecer requisitos de seguridad en las
especificaciones de adquisición.
Un estándar de los servicios de seguridad que deben ser
proporcionados por los vendedores para los diferentes criterios
de seguridad existentes.
Una forma de medir la seguridad de un sistema de información.
TCSEC direcciona confidencialidad. No integridad. La
funcionalidad de los mecanismos de seguridad y el Assurance
de los mismos, NO son evaluados en forma separada.
TCSEC
D - Minimal protection
C - Discretionary Protection
C1 – Usuarios cooperativos que pueden proteger su propia
información
C2 – DAC más granular, se puede auditar al usuario/ proceso
individualmente (individual accountability)
B - Mandatory Protection (Bell-LaPadula, RM, Security
Labels Requeridas)
B1 Labeled Security Protection (Process Isolation!)
B2 Structured Protection (Covert Channels!)
B3 Security Domains
A - Verified Protection (Direcciona seguridad a nivel Top
Secret)
A1 Verified Design
ITSEC
Introducción
TCSEC
ITSEC
CC
ITSEC
Information Technology Security Evaluation Criteria
Desarrollado en Europa como estándar único de evaluación de
la seguridad en sistemas.
Evalúa Funcionalidad y Seguridad (Assurance) en forma
separada.
Effectiveness = Hacen lo que se espera que haga.
Correctiveness = Que tan correcto es el proceso por el cual lo
hacen.
Clasificaciones por:
F1-F10 Niveles de Funcionalidad.
E0-E6 Niveles de Assurance.
ITSEC direcciona Integridad, Disponibilidad y
Confidencialidad.
ITSEC se ocupa de evaluar sistemas en red mietras que
TCSEC solo hace lo propio con sistemas stand-alone.
CC
Introducción
TCSEC
ITSEC
CC
CC
Common Criteria (CC)
Creado por el ISO en 1993.
Creado a partir de TCSEC, ITSEC, Canadian Trusted.
Computer Product Evaluation Criteria (CTCPEC) y el Federal
Criteria.
Provee mas flexibilidad que TCSEC e ITSEC.
CC
Componentes del Common Criteria (CC)
Protection Profile (PP)
Descripción de las necesidades de seguridad de un producto.
Target of Evaluation (TOE)
Producto que se propone evaluar.
Security Target (ST)
Descripción escrita por el proveedor explicando las
funcionalidades de seguridad (que hace?) y mecanismos de
assurance que cumplen los requerimientos de seguridad (como
lo hace?).
Packages – Evaluation Assurance Levels (EAL)
Los requerimientos Funcionales (definen el comportamiento del
producto relacionado con la seguridad) y de Assurance
(establece el nivel de confianza en el producto) son reunidos en
paquetes para ser reutilizados.
Describen los requisitos a cumplir para alcanzar cada nivel EAL
especı́fico.
CC
Package Ratings – Evaluations Ratings
1
Basic Assurance
EAL
EAL
EAL
EAL
2
1
2
3
4
Functionally tested
Structurally tested
Methodically tested and checked
Methodically designed, tested and reviewed
Medium Assurance
EAL 5 Semiformally designed and tested
3
High Assurance
EAL 6 Semiformally verified design and tested
EAL 7 Formally verified design and tested
Certificación y Acreditación
Introducción
Introducción
Introducción
Introducción
Definiciones
Procedimientos y Juicios que determinan si un sistema se
encuentra en condiciones para operar en un ambiente
operativo determinado (suitability).
La certificación considera al sistema dentro del ambiente
operativo.
La acreditación refiere a la decisión oficial de la gerencia
relacionada con la operación del sistema en el ambiente
especificado.
Introducción
Definiciones
Certificación
Evaluación técnica mediante la cual se revisan los mecanismos y
controles de seguridad, con el objeto de evaluar su efectividad.
Acreditación
Aceptación oficial de los resultados de una certificación.
Amenazas y Ataques
Amenazas
Amenazas y Ataques
Amenazas
Amenazas
Amenazas y Ataques
Amenazas
Covert Channels
Definición
Un canal de comunicación que permite la transferencia de
información entre dos procesos violando la polı́tica de seguridad del
sistema.
Producto de:
Descuido en el desarrollo del producto.
Implementación no apropiada de control de acceso.
Existencia de un recurso compartido entre dos entidades.
Instalación de un Caballo de Troya.
Covert Storage Channel involucra uso de memoria
compartida entre los dos procesos.
Covert Timing Channel involucra la modulación del uso de
un recurso del sistema (por ejemplo CPU).
Amenazas y Ataques
Amenazas
Timing Attacks / Asynchronous Attacks
Buscan tomar ventaja en el paso del tiempo entre dos eventos
diferentes.
Time of Check / Time of Use (TOC/TOU)
El ataque ocurre por ejemplo, entre el momento en el que se
revisa un archivo determinado y el momento en que se lo
utiliza.
Un usuario se logue en el sistema por la mañana y es
despedido por la tarde. Por seguridad, el administrador
remueve el usuario de la base de datos, pero si el usuario en
cuestión no es obligado a hacer el log off, aun podrá seguir
accediendo por algún tiempo a los recursos de la compañı́a.
Amenazas y Ataques
Amenazas
Radiación Electromagnética
Simplemente debido a las clases de componentes electrónicos
con los cuales se construyen, muchos dispositivos de hardware
emiten radiación electromagnética durante su operación.
En ciertas circunstancias estas emanaciones pueden ser
interceptadas y las secuencias de teclado reconstruidas.
También es posible detectar y leer paquetes de red en forma
pasiva, a lo largo de un segmento de la red.
Referencias bibliográficas
Referencias bibliográficas I
S Harris.
CISSP Certification All-in-One Exam Guide, Fourth Edition.
McGraw-Hill Osborne Media; 4 edition (November 9, 2007).

Tema 3. Arquitectura y Diseño de Seguridad

Transcripción

Documentos relacionados

(a) f(x)

Isidro Ferrer, Premio Nacional de Dise e Ilustraci , clausura este

Análisis de Sistemas de Control

Métodos de optimización para modelos predictivos basados en