seguridad de sistemas y redes - sistemas operativos
TRANSCRIPT
SEGURIDAD EN SISTEMAS Y REDES
SEGURIDAD EN SISTEMAS OPERATIVOS
PROBLEMAS DE SEGURIDAD USO INDEBIDO O MALICIOSO DE
PROGRAMAS
USUARIOS INEXPERTOS O DESCUIDADOS
USUARIOS NO AUTORIZADOS
VIRUS
GUSANOS
ROMPEDORES DE SISTEMAS DE
PROTECCION
BOMBARDEO
POLITICA DE SEGURIDAD
Los requisitos de seguridad son siempre una cuestión importante en las organizaciones.
Es interesante resaltar que los requisitos de seguridad varían de unos sistemas a otros, e incluso entre usuarios distintos dentro del sistema.
Existen distintas políticas de seguridad.
POLITICA MILITAR
Ésta es una de las políticas más popularmente conocidas y también de las más estrictas, por lo que casi nunca se aplica en su totalidad.
Se basa en la clasificación de todos los objetos con requisitos de seguridad
Cinco niveles de seguridad:
Y en clasificar también a los usuarios según el nivel al que pueden acceder
Sólo se permite el acceso a datos sensibles a quien los necesita para hacer su trabajo.
DesclasificadoRestringido.ConfidenciaSecreto.
Alto secreto.
POLITICAS COMERCIALES Aunque son menos rígidas que la militar,
todas ellas usan los principios de compartimentación de los usuarios y de clasificación de la información.
Además definen reglas similares para el trasvase de información entre los distintos niveles y compartimentos.
La política de la muralla china [Brewer, 1989] clasifica a objetos y usuarios en tres niveles de abstracción:
•Objetos.• Grupos.• Clases de conflicto
MODELOS DE SEGURIDAD
Un modelo es un mecanismo que permite hacer explícita una política de seguridad.
Los modelos de seguridad se pueden clasificar en dos grandes tipos: multinivel y limitados.
En seguridad, los modelos se usan para probar la completitud y la
coherencia de la política de seguridad.
MODELOS DE SEGURIDAD MULTINIVEL
Permiten representar rangos de sensibilidad y reflejar la necesidad de separar rigurosamente los sujetos de los objetos a los que no tienen acceso.
Suelen ser modelos abstractos y muy generales, lo que los convierte en muy complejos, difíciles de verificar y muy costosos de implementar.
Ejemplos de modelos de este estilo son los modelos de rejilla, el modelo de confidencialidad de Bell-La Padula y el modelo de integridad de Biba [Bell, 1983].
MODELOS DE SEGURIDAD LIMITADA
Se centran en responder formalmente las propiedades que un sistema seguro debe satisfacer, pero introduciendo restricciones a los sistemas de seguridad multinivel.
Todos ellos se basan en dos principios:
• Usan la teoría general de la computación para definir un sistema formal de reglas de protección.
• Usan una matriz de control de acceso, en cuyas filas están los sujetos y en cuyas columnas están los objetos.
Ejemplos de modelos de este tipo son los de Graham-Denning, los de Harrison-Ruzzo-Hullman (HRU) y los de permiso de acceso [Harrison, 1985].
Los derechos de acceso del sujeto i sobre el objeto j son los contenidos del elemento
de la matriz (i, j ).
DISEÑO DE SISTEMAS OPERATIVOS SEGUROS
En muchos sistemas se centra el diseño de seguridad en conseguir un sistema confiable, es decir, un sistema que satisface los requisitos de seguridad de terceros o que es capaz de generar confianza en los usuarios.Existen casos en que los usuarios confían en sistemas no totalmente seguros. Un ejemplo claro es el automóvil. Su conducción genera multitud de accidentes por fallos mecánicos y humanos. Sin embargo, muchas personas confían más en su vehículo particular que en un avión, aunque todos los datos demuestran que el avión es más seguro.
PRINCIPIOS DE DISEÑO Y ASPECTOS DE SEGURIDADEXIGIR
PERMISOS
La política de acceso por defecto debería ser restrictiva, es decir, denegar el acceso.
Es mejor identificar qué objetos son accesibles y cómo identificar los que no.
PRIVILEGIOS MINIMOS
Los procesos deberían tener la menor prioridad posible que les
permita acceder a los recursos que necesitan.
Este principio permite limitar los daños en casos de ataques maliciosos.
MECANISMOS
ECONOMICOS
Los mecanismos de protección deberían ser sencillos, regulares y pequeños.
Un sistema así se puede analizar, verificar, probar y diseñar fácilmente.
INTERMEDIACION COMPLETA
Cada intento de acceso al sistema debe ser
comprobado, tanto los directos como los indirectos.
Los mecanismos de comprobación deberían estar situados en zonas del sistema operativo donde no
puedan ser evitados.COMPARTICIO
N MINIMA
Los objetos compartidos pueden servir como canales
de comunicación de información.
Los sistemas que usan la separación física o lógica de los usuarios permiten reducir el riesgo de
compartición ilegal de objetos.FACILES DE
USAR Y ACEPTABLES
El esquema de protección debe ser aceptado por los
usuarios y fácil de usar
Si un mecanismo es sencillo, y no es desagradable, existen menos
probabilidades de que los usuarios traten de evitarlo.
SEPARACION DE
PRIVILEGIOS
Los accesos a cada objeto deben depender de más de un
mecanismo de protección.
Tener la información criptografiada añade un plus de seguridad, ya que aunque un intruso pueda acceder a
la información todavía debe ser capaz de descifrarla.
Un sistema operativo debe llevar a cabo las siguientes tareas de seguridad:
Autenticación de
usuarios
Asignación de
recursos
Control de acceso a
los recursos
Control de la compartición
y la comunicación
Protección de datos
TECNICAS DE DISEÑO DE SISTEMAS SEGUROS
SEPARACION DE RECURSOS
USO DE ENTORNOS VIRTUALES
DISEÑO POR CAPAS
SEPARACION DE RECURSOS
Es separar los recursos de los distintos usuarios o dominios, de forma que no puedan compartirlos o que la forma de compartirlos esté completamente controlada a través de un medio de comunicación fiable.
Hay cuatro formas básicas de separación entre procesos: Física, temporal, criptográfica y lógica.
1. FISICA:
Los procesos ejecutan en distintas plataformas hardware, dependiendo de sus restricciones de seguridad.
Por ejemplo, se puede instalar el software nuevo en una máquina aislada para prevenir la extensión de virus o ejecutar los procesos con restricciones fuertes de seguridad en entornos de computación restringidos.
SEPARACION DE RECURSOS2. TEMPORAL
Algunos sistemas operativos, permiten especificar a qué horas puede ejecutar un proceso, cuándo se puede acceder a un sistema desde un terminal, etc. En sistemas grandes se permite ejecutar trabajos interactivos durante una ventana, horaria (p. ej.: de 9 a 18 horas) y a partir de esa hora sólo se permite la ejecución de trabajos por lotes (batch).
Ocurre cuando los procesos se ejecutan a distintas horas.
SEPARACION DE RECURSOS3. CRIPTOGRAFICA
Usa la criptografía para asegurar que los datos de distintos usuarios no sean inteligibles para los demás, aunque puedan acceder a dichos datos.
4. LOGICA
Los sistemas proporcionan múltiples espacios lógicos de ejecución, asignando uno a cada proceso. El sistema operativo separa así los objetos y el contexto de un usuario de los de otro.
USO DE ENTORNOS VIRTUALES
Permiten proporcionar separación lógica de forma natural. Obviamente, los entornos virtuales deben apoyarse en recursos reales, pero el sistema operativo puede proporcionar a los usuarios los recursos virtuales y controlar el acceso a los mismos.
EJEMPLO:• Los espacios múltiples de memoria virtual.• Las máquinas virtuales.
USO DE ENTORNOS VIRTUALES
MAQUINAS VIRTUALES
+ Proporcionan un entorno virtual completo para cada usuario.
+ Cada usuario debe acceder a los recursos reales a través de su máquina virtual.
+ Las máquinas virtuales permiten mejorar el aislamiento entre los usuarios
DISEÑO POR CAPAS
La visión de un sistema seguro se puede asemejar a una serie de círculos concéntricos, donde los niveles interiores son de más confianza.
Reparte sus funciones por las distintas capas del sistema, ocultando datos entre niveles y reduce daños en caso de fallos de seguridad.
En cada capa del sistema se puede incluir toda la funcionalidad que afecta a los elementos de esta capa. En caso de que haya un fallo de seguridad, sólo esos elementos se verán afectados.
CONTROLES DE SEGURIDAD EXTERNOS AL SISTEMA OPERATIVO
EQUIPOS DE PENETRACION Y LIMITACION DE ACCESO
CONTROLES DE PROGRAMACION
USO DE ESTANDARES DE SEGURIDAD
EQUIPOS DE PENETRACION Y LIMITACION DE ACCESO
Su misión consiste en llevar a cabo todos los ataques de seguridad imaginables sobre un sistema.
Un conjunto de pruebas de seguridad bien diseñado es muy complejo, porque debe incluir desde cosas muy sencillas hasta muy sofisticadas.
La complejidad de las comprobaciones y el registro de los accesos aumenta en los sistemas conectados a la red.
Esta máquina separa dos dominios de seguridad: el fiable y el exterior. El cortafuegos se sitúa entre ambos y filtra todo el tráfico de la red, monitoriza y registra las conexiones.
CONTROLES DE PROGRAMACION
DISEÑO DETALLADO Y CONTRASTADO Es importante que el diseño y el código del sistema sean revisados por un
grupo independiente de los diseñadores y los programadores, de forma que todo el grupo se involucre en la corrección y seguridad del pro ducto.
PRINCIPIO DE AISLAMIENTO Este principio se puede aplicar a los programas encapsulando datos y métodos
de un objeto, de forma que sólo se puedan acceder a través de métodos verificados del mismo objeto y con una interfaz bien definida.
PROBADORES INDEPENDIENTES Estas pruebas son muy importantes para la seguridad del sistema, porque si un
programador quiere introducir código malicioso en el sistema nunca desarrollará código de prueba que detecte dicho código.
GESTION DE CONFIGURACION De forma que cualquier cambio o instalación de software en un sistema debe
ser aprobado por el administrador que debe juzgar la necesidad del cambio. Este control protege frente a amenazas no intencionadas, al evitar que el sistema quede en un estado inseguro.
USO DE ESTANDARES DE SEGURIDAD
Para que el sistema sea seguro es necesario describir claramente qué hacer, y cómo hacer lo, en términos de seguridad.
El estándar DoD-2167A data de 1988 y permite definir requisitos uniformes aplicables a lo largo del ciclo de vida del sistema.
El Modelo de Madurez y Capacidad (CMM), Este modelo permite evaluar la calidad de los métodos de seguridad usados en un sistema u organización.
El estándar ISO 9000 agrupa un conjunto de estándares de calidad que especifican las acciones a tomar cuando un sistema tenga objetivos y restricciones de calidad.
CONTROLES DE SEGURIDAD DEL SISTEMA OPERATIVO
• Ejecutar software fiable.
• Sospechar de los procesos.
• Ejecutar los procesos con confinamiento.
• Registrar los accesos.
• Buscar periódicamente agujeros de seguridad.
CLASIFICACIONES DE SEGURIDAD
Algunas de las clasificaciones existentes en la actualidad son la clasificación del Departamento de Defensa (DoD) de los Estados Unidos de América, el criterio alemán, el criterio canadien se, el ITSEC o el criterio común.
CLASIFICACION DEL DEPARTAMENTO DE DEFENSA (DoD) DE ESTADOS UNIDOS Esta clasificación especifica
cuatro niveles de seguridad: A, B, C y D
CLASIFICACION DEL DEPARTAMENTO DE DEFENSA (DoD) DE ESTADOS UNIDOS
Nivel D. Sistemas con protección mínima o nulaNo pasan las pruebas de seguridad mínima exigida en el DoD. MS-DOS y Windows 3.1 son sistemas de nivel D. Puesto que están pensados para un sistema monoproceso y monousuario, no proporcionan ningún tipo de control de acceso ni de separación de recursos. Nivel C. Capacidad discrecional para proteger
recursosLa aplicación de los mecanismos de protección depende del usuario, o usuarios, que tienen privilegios sobre los mismos. Casi todos los sistemas operativos comerciales de propósito general, como UNIX, LINUX o Windows NT, se clasifican en este nivel.
Nivel C. Capacidad discrecional para proteger recursos
Clase C1. Control de acceso por dominios.UNIX pertenece a esta clase. Divide a los usuarios en tres dominios: dueño, grupo y mundo. Se aplican controles de acceso según los dominios, siendo todos los elementos de un determinado dominio iguales ante el sistema de seguridad.
Clase C2. Control de acceso individualizado.El sistema de seguridad del ser capaz de controlar y registrar los accesos a cada objeto a nivel de usuario. Windows NT pertenece a esta clase.
Nivel B. Control de acceso obligatorio
En este nivel, los controles de acceso no son discrecionales de los usuarios o dueños de los recursos, sino que deben existir obligatoriamente.
En caso de que el dueño no defina cuál, el sistema de seguridad asigna una por defecto.
Clase Bi. Etiquetas de seguridad obligatorias. Cada objeto controlado debe tener su etiqueta de seguridad.
Clase B2. Protección estructurada. Todos los objetos deben estar controlados mediante un sistema de seguridad con diseño formal y mecanismos de verificación.
Clase B3. Dominios de seguridad. B2 ampliado con pruebas exhaustivas para evitar cana les encubiertos, trampas y penetraciones. Diseño probado y verificado, que usa niveles, abstracciones de datos y ocultamiento de información.
Nivel A. Sistemas de seguridad certificados
Para acceder a este nivel, la política de seguridad y los mecanismos de protección del sistema deben ser verificados y certificados por un organismo autorizado para ello. Organismos de verificación muy conocidos son el National Computer Security Center o el TEMPEST
Clase Ai. Diseño verificado. Clase Ax. Desarrollo controlado.