SEGURIDAD Y PROTECCIONjbanos.empresarial-uagro.com/.../2018/07/UNIDAD-VI.pdf · 2018. 7. 6. ·...

seguridad y proteccion. Qué es la seguridad y la protección '? Alteración o destrucción no autorizada de la información. Uso no autorizado de servicios. Denegación de servicios a usuarios legítimos Objetivo: prevenir, eliminar amenazas potenciales. Protección frente a modificaciones no autorizadas. Resistencia a la penetración Protección frente a modificaciones no detectadas de datos Intentos de penetración: Terminal con sesión abierta Contraseñas Puertas cepo. Caballos de Troya. Gusanos informáticos Virus informáticos. Prueba y error. PROTECCION

.La protección se refiere a un mecanismo para controlar el acceso de los

programas, procesos o usuarios a los recursos definidos por un sistema de

computación. Este mecanismo debe permitir específica los controles que se

impondrán y debe contar con alguna forma de hacerlos cumplir. Distinguimos

entre protección y seguridad que es una medida de la confianza que tenemos en

que se preservará la integridad de un sistema y de sus datos.

.La protección consiste en evitar que se haga un uso indebido de los recursos que

están dentro del ámbito del sistema operativo. Para ello deben existir mecanismos

y políticas que aseguren que los usuarios sólo acceden a sus propios recursos

(archivos, zonas de memoria, etc.). Además es necesario comprobar que los

recursos sólo se usan por aquellos usuarios que tienen derechos de acceso a los

mismos. Las políticas de protección y seguridad de hardware, de software y datos

deben incluirse dentro del sistema operativo, pudiendo afectar a uno o varios

componentes del mismo. En cualquier caso, el sistema operativo debe

proporcionar medios para implementar la política de protección deseada por el

usuario, así como medios de hacer cumplir dicha política.

Objetivo de la protección

A medida que los sistemas de computación se vuelven más complejos y

omnipresentes en sus aplicaciones, también ha crecido la necesidad de proteger

su integridad. La

.protección se concibió originalmente como un adjunto de los sistemas .operativos

.con multiprogramación, para que usuarios poco confiables pudieran compartir sin

peligro un espacio de nombres lógico común, como un directorio de archivos, o un

espacio de nombres físico común, como la memoria. Los conceptos de protección

modernos han evolucionado para aumentar la confiabilidad de cualquier sistema

complejo que usa recursos compartidos.

Existen mecanismos de protección:

Mecanismo de protección de memoria

En un entorno de multiprogramación, la protección de la

memoria principal es fundamental. El interés no es sólo la seguridad, sino también

el funcionamiento correcto de los diversos procesos que estén activos. Si un

proceso puede escribir inadvertidamente en el espacio de memoria de otro

proceso, este último puede que no ejecute correctamente.

La separación del espacio de memoria de los diversos procesos se lleva a cabo

fácilmente con un esquema de memoria virtual. La segmentación, paginación o la

combinación de ambas proporciona un medio eficaz de gestión de la memoria

principal. Si se persigue un aislamiento total, el sistema operativo simplemente

debe asegurar que cada segmento o cada página es accesible sólo para el

proceso al que está asignada. Eso se lleva a cabo .fácilmente exigiendo que no

haya entradas duplicadas en las tablas de páginas o segmentos.

Los mecanismos de memoria deben evitar que un programa en ejecución

direcciones posiciones de memoria que no le hayan sido asignadas por el sistema

operativo.

Una solución empleada en algunas máquinas que no tienen memoria virtual

consiste en incluir una pareja de registros valla (límite y base).

Protección de contraseñas

La línea de vanguardia de la defensa ante los intrusos es el sistema de

contraseñas. Casi todos los servidores y sistemas multiusuario requieren que el

usuario suministre no sólo un nombre o identificador (ID), sino también una

contraseña. La contraseña sirve para autentificar el ID del individuo que se

conecta al sistema. A su vez, el ID introduce seguridad en dos sentidos:

-El ID determina si el usuario está autorizado para obtener acceso al sistema. 'En

algunos sistemas, solo se permite acceder a aquellos que ya tienen un ID

registrado en el sistema.

-El ID determina los privilegios convenidos con el usuario. U nos pocos 'usuarios

pueden tener un status de supervisor o "super1,:1.usuario" que les habilita para

leer archivos y llevar a cabo funciones protegidas especialmente por el sistema

operativo. Algunos sistemas disponen de cuentas anónimas y los usuarios de

estas cuentas tienen privilegios más restringidos que los demás.

-El ID se emplea en lo que se conoce como control de acceso discrecional. Por

ejemplo, enumerando los ID de los demás usuarios, un usuario les puede

conceder permisos para leer archivos poseídos por él.

Mecanismos de protección del procesador

Los mecanismos de protección de 1 procesador se basan en los niveles de

ejecución del mismo. En nivel de ejecución de núcleo se puede ejecutar todas las

instrucciones máquina y se pueden acceder a todos los registros ya la totalidad de

los mapas de memoria y de el s.

Uso indebido o malicioso de programas:

Dos formas frecuentes de generar fallos de seguridad..' usando estas técnicas son el caballo de Troya y la puerta de atrás. El caballo de Troya se basa en la idea de crear un programa para que haga cosas no autorizadas en el sistema cuando actúa en el en torno adecuado. La puerta de atrás consiste en crear un agujero de seguridad al sistema a través de un programa privilegiado que lo permite.

Usuarios inexpertos o descuidados

Los usuarios inexpertos o descuidados son potencialmente muy peligrosos. Cosas

tales como borrar archivos no deseados, dejar abiertos los accesos al sistema ..

Durante largo tiempo o escribir la palabra clave en un papel ~; junto a la

computadora son más frecuentes de lo que parece.

Usuarios no autorizados

Los sistemas operativos, como UNIX o Windows NT , mantienen cuentas para los

usuarios autorizados. El acceso a dichas cuentas se protege mediante

contraseñas, o palabras clave, que solo debe conocer el dueño de las mismas.

SEGURIDAD La seguridad, no solo requiere un sistema de protección apropiado, sino también considerar el, entorno externo en el que el sistema opera. La información almacenada en el sistema ( tanto como código como datos), así como los recursos físicos del sistema de computación, tienen que protegerse' contra acceso no autorizado, destrucción O alteración mal intencionada, y la introducción accidental de consistencias.

SEGURIDAD EXTERNA

Se integridad externa a todos los mecanismos dirigidos a asegurar el sistema

computarizado, sin que el propio sistema intervenga en si mismo. La seguridad

externa se divide en dos grupos:

o Seguridad física: Consiste de aquellos mecanismos que impiden a los agentes

físicos la destrucción de la información existente en el sistema; tales como el

fuego, las inundaciones, humo, descargas eléctricas, etc.

o Criptografía: Es un proceso de transformación que se aplica a unos datos para

ocultar su contenido. El proceso al que hay que someter la información para

conseguir que sea secreta se conoce como encriptado o cifrado.

EL PROBLEMA DE LA SEGURIDAD

Se dice que un sistema es seguro si sus recursos se usan y acceden como el

debido en todas las circunstancias. En general no es posible lograr una seguridad

total. Es mas fácil proteger contra un mal uso accidental que contra un abuso mal

intencionado. Entre las formas de acceso mal intencionado están :

Lectura no autorizada de datos (robo de información).

Modificación no autorizada de datos. Destrucción no autorizada de datos. Para proteger el sistema debemos proteger el sistema en dos niveles:

Físico: el sitio o sitios que contienen los sistemas de computación deben

asegurarse físicamente contra el ingreso armado de intrusos.

Humano: los usuarios deben seleccionador cuidadosamente para reducir la

posibilidad de autorizar un usuario que luego dará acceso a un intruso.

Las exigencias de seguridad de la información en una organización han

experimentado transformaciones principales en las ultimas décadas, el uso

extendido de equipo de proceso de datos, la seguridad de la información que se

creía valiosa en una organización se aseguraba principalmente por medios físicos

y administrativos.

Ejemplos:

El uso de archiveros robustos con una cerradura de combinación para almacenar

documentos delicados

Vigilancia del personal, empleados durante el proceso de contratación.

Con la introducción del computador, se hizo evidente la necesidad de

herramientas automatizadas para proteger los archivos y alguna otra información

guardada en el computador. Al nombre genérico del conjunto de herramientas

diseñadas para proteger los datos y detener a los hackers es el de seguridad de

computadores.

AMENAZAS DE LA SEGURIDAD

En la seguridad de computadores y redes se abordan los siguientes requisitos:

Confidencialidad: Exige que los elementos de un sistema de computadores sea

accesible para lectura solamente por grupos autorizados. Este tipo de acceso

incluye impresión y visualización-

Integridad: Exige que los elementos de un sistema de un sistema puedan ser

modificados solo por grupos autorizados. La modificación incluye escritura,

cambio, cambio de estado, borrado y creación.

Disponibilidad: Exige que los elementos de un sistema de computadores estén disponibles a grupos autorizados. TIPOS DE AMENAZAS

.Interrupción: Se destruye un elemento del sistema o se hace inútil. Esta es una

amenaza a la disponibilidad.

Ejemplo:

La destrucción de una pieza de hardware (como un disco duro, el corte de una

línea de comunicaciones), etc).

.Intercepción: Una parte no autorizada consigue acceder a un elemento. Esta es

una amenaza ala la confidencialidad, la parte no autorizada puede ser una

persona, un programa o un computador.

Ejemplo: La intercepción de las líneas conexiones telefónicas para capturar datos de una

red y la copia ilícita de archivos o programas

Alteración: una parte no autorizada no solo consigue acceder, sino que falsifica un

elemento. Esta es una amenaza ala integridad.

Ejemplo: Cambio de valores de un archivo de datos, la alteración de un programa para que

se comporte de manera diferente y la modificación del contenido de los mensajes

transmitidos en la red.

Invención: una parte no autorizada inserta objetos falsos en el sistema. Esta

también es una amenaza de Integridad.

Ejemplo:

Inserción de mensajes falsos en la red o la adición de registros aun archivo.

PROTECCIÓN y CONTROL DE ACCESO

La motivación original de los mecanismos de protección surgió con la aparición de la multiprogramación. La intención era confinar el programa de cada usuario en su área asignada de memoria y así impedir que los programas traspasaran y dañaran otras áreas. Dado el creciente deseo de compartir objetos en memoria principal y secundaria, se idearon mecanismos más complejos para el control de acceso.

Protección en sistemas informáticos La protección en memoria principal \a unida generalmente a la traducción de direcciones. Su objetivo es permitir que procesos residentes concurrentes y potencialmente sospechosos compartan el espacio común de direcciones físicas en la memoria principal. En sistemas con asignación contigua de memoria, la protección se obtiene, generalmente con ayuda de algún tipo de registros límite. Cuando se carga el programa, se preparan los registros límite para que especifiquen la extensión de su espacio de direcciones legítimo. En tiempo de ejecución, cada referencia a memoria es preexaminada para verificar que se encuentre dentro de los límites. En caso contrario, se deniega el acceso a memoria y se genera una excepción que activa el mecanismo de protección. La protección se asegura haciendo que la modificación de los registros límite sea una operación privilegiada que sólo puede ser ejecutada cuando la máquina está operando en el estado supervisor privilegiado. El estado supervisor está generalmente reservado al sistema operativo ya programas de sistema confiables. Los programas de usuario, por defecto, corren en modo usuario, menos privilegios.

Modelo de protección por matriz de accesos

La necesidad de controlar los derechos de acceso es especialmente pronunciada

en situaciones en donde algunas utilidades comunes, tales como editores y

compiladores, están siendo compartidas.

Para que un proceso utilice una utilidad compartida deben serle comunicados

algunos de los derechos de acceso del usuario. Por ejemplo, el compilador debe

tener concedido al menos acceso de lectura al archivo fuente del usuario y,

opcionalmente, puede tener acceso de creación y escritura de archivos en el

directorio propio del programa del usuario para los archivos objeto y de listado. Sin

embargo, no es aconsejable y es peligroso efectuar esta transferencia de

derechos permitiendo a la utilidad compartida que asuma todos los derechos de

acceso del usuario que la invoca. Tal comportamiento promiscuo, no inhabitual en

sistemas reales, proporciona un terreno fértil para la implantación de caballos de

Troya y para la propagación de virus informáticos.

Estas relaciones pueden ser representadas por medio de una matriz de accesos

que es una representación de todos los derechos de acceso de todos los sujetos

para todos los objetos en un sistema informático. Generalmente se representa

como una matriz bidimensional. utilizando los dominios de protección como filas y

los objetos del sistema como columnas. En la matriz de accesos se incluyen tanto

los objetos de hardware como los de software.

Jerarquías de accesos

Una forma simple de jerarquía de accesos la proporciona el modo de operación dual, usuarios /supervisor, que se encuentran En muchos sistemas informáticos. En ese modelo, en modo usuario, que es modo de ejecución de programas por defecto, hay disponible un rango restringido de operaciones. El modo supervisor es un súper conjunto que además de las instrucciones del modo usuario, permite la ejecución de instrucciones que pueden afectar adversamente a la integridad del sistema. Entre ellas se incluyen ciertas funciones de E/S. la parada de la máquina y la actualización de las tablas de traducción de direcciones. El modo supervisor está reservado al sistema operativo ya programas fiables, generalmente diferentes utilidades del sistema. Por tanto, los programas de usuario se ejecutan en el dominio del usuario, y el sistema operativo se ejecuta en el dominio del supervisor. La conmutación de dominios a nivel de instrucción sólo está permitida en modo privilegiado. Cuando un programa de usuario necesita efectuar una operación fuera de su dominio de protección; invoca al sistema operativo. En el punto de transferencia de control, por ejemplo,

en la instrucción de llamada al supervisor, el sistema operativo puede verificar la autoridad del usuario y conceder o denegar la ejecución adecuadamente. Listas de accesos

Las listas de accesos son un modo de registrar los derechos de acceso en un

sistema informático. Son utilizadas frecuentemente el sistemas de archivos. EI

principio, una lista de accesos es una enumeración exhaustiva de los derechos de

acceso específicos de todas las entidades (dominios o sujetos) que tienen acceso

autorizado a un objeto dado. En efecto, una lista de accesos para un objeto

específico es una lista que contiene todas las celdas 110 vacías de una columna

de la matriz de accesos asociada con un objeto dado.

En sistemas que enlpleal1 listas de accesos, se mal1tiellc una lista separada para

cada objeto. Generalmente, el propietario tiel1e derecho exclusivo a defil1ir y

modificar la lista de accesos asociada. El propietario de un objeto puede revocar

los derechos de acceso concedidos a un sujeto particular o a un dominio

modificando o elil11inal1do simplcmcl1tc la entrada adecuada en la lista de

accesos.

Para almacenar la inforl1lación de acceso en sistemas de archivo se emplean

muchas variantes del esquema de lista de accesos. Típicamente, la lista de

accesos o un puntero a ella se almacel1a en el directorio de archivos. Las listas de

accesos pueden ser combinadas con otros esquemas para reforzar la protección.

En Multics, por ejemplo, las listas de accesos se combinan con un esquema de

protección basado en al1illos para col1trolar el acceso a segmentos que residen

en almacel1amiento secundario.

El pril1cipal inconveniente de las listas de accesos es el recargo de búsqueda

impuesto por la necesidad de verificar la autoridad de un sujeto para acceder al

objeto solicitado. De acuerdo con el principio de mediación completa, toda petición

de acceso a un archivo debería ser verificada. Con el fin de mejorar la eficiencia,

algunos sistemas comprueban la autoridad del solicitante sólo durante la apertura

del archivo. Esto debilita la protección abriendo la puerta a la penetración después

que el archivo está abierto y haciendo inefectivas las revocaciones de privilegio en

tal1to el usuario tenga el archivo abierto, lo cual puede ser indefinidamente en

algul1os sistemas.

Capacidades

En vez de mantener listas de accesos por objeto, el sistema puede también

mantener listas de derechos de acceso por sujeto. En términos nos de la matriz de

accesos, hay una lista de derechos de acceso por cada dominio ( o por cada

sujeto). Omitiendo las entradas vacías, el resultado es una lista exhaustiva de los

objetos a los que un sujeto específico está autorizado a acceder (una fila en la

matriz de acceso). Esta noción básica es el fundamento de un mecanismo de

protección y direccionamiento versátil basado en capacidades.

Los sistemas basados en capacidades combinan las funciones de

direccionamiento y protección en un solo mecanismo unificado que se utiliza para

acceder a todos los objetos del sistema. Conceptualrnente, una capacidad es una

cédula o billete que da al usuario que lo posee permiso para acceder a un objeto

específico en la manera especificada. Las capacidades proporcionan un

mecanismo único y unificado para

1. direccional memoria primaria y secundaria. 2. Acceder a recursos hardware y

software.

3. Proteger objetos en memoria primaria y secundaria.

En sistemas basados en capacidades, a cada objeto se le asocia una lista de

capacidades. Un sujeto puede nombrar y acceder sólo aquellos objetos para los

cuales posee una capacidad válida. A diferencia de los sistemas con listas de

accesos, en donde un sujeto puede nombrar a cualquier objeto, en sistemas

basados en capacidades un sujeto sólo puede nombrar a los sujetos para los

cuales tiene capacidades.

Una capacidad puede representarse como una estructura de datos formada por

dos elementos de información: I) un identificador de objeto único (normalmente un

puntero) y 2) los derechos de acceso para ese objeto.

Las ventajas de las capacidades incluyen flexibilidad y facilidad de Usos tanto

para el sistema Como para los objetos. Las desventajas incluyen la posibilidad de

falsificaciones y la dificultad de reacciones de privilegios de acceso. Una primitiva

implenlentación software bien conocida de la protección basada en capacidades

fue el sistema operativo 11ydr..l (Wlllf et . ). El Procesador Intel 432 incluía el

hardware en cl dirL'L"L"ion..Lmicnlo b.1s..l<.1o en capacidades, pero no llegó a

tener éxito comercial por variadas razones. 1

Cerraduras y llaves El mecanismo de cerraduras y llaves combina aspectos de las listas de accesos y de los sistemas de protección orientados a capacidades. En este método, a cada objeto se le asocia una lista de cerraduras y derechos de acceso, A un sujeto s se le da una llave KY para la cerradura Li sólo si tiene el derecho de acceso r para el objeto asociado. Una lista de cerraduras es en realidad una coJunlna de la matriz de accesos en donde las entradas no vacías idénticas pueden representarse con un único par (L" ¡-), Una llave para una cerradura es una forma de capacidad que da derecho al propietario a acceder al objeto, supuesto que la llave encaje en la cerradura correspondiente. El propietario del objeto puede revocar los derechos de acceso de todos los objetos que comparten la llave A I\, suprinliendo la entrada de la cerradura L:. Este método de protección se asenleja a las claves de almacenanliento introducidas en ell BM 360, ~~.. CLASlFICACION DE SEGURIDAD DE LOS COMPUr ADORES ~ ,. A la seguridad conlleva un conjunto de nJedidas y

procedimientos para prevenir a robosf ataquesf delitosf espionaje y sabotajes. El objetivo de \a seguridad informática es mantener la integridad, disponibilidad y privacidad de la información confiada al sistenla. Los criterios de evaluación de confiabilidad de sisten\as de computación especifican cuatro divisiones de .seguridad en loS sistemas A, S, C, D.

CLASIFICACION O: clasificación de n)ás bajo nivelo de p.-otección n)ínima

comprende solo una clase, y se aplka a sistemas que se evaluaron pero que

no logra:.~.n satisfacer los requisitos de cualquiera de las otras clases de

seguridad.

CLASIFICACION C: proporciona protección discrecional y contabilización de

los usuarios y sus acciones mediante el uso de funciones de ~uditoria.

CLASI.FIC~CI.QN S: mantiene la etiqueta de seguridad de cada objeto en. ~I

sistema, la etiqueta ,e usa para tomar decisiones relacionadas con el control de

acceso obligatorio.

CL.ASIFICACION A: clasificación de .mas alto nivel de protección contiene terminales blindadas para evitar la fuga de campos electromagnéticos, el cual asegura que ningún eq uipo situado fuera del recinto donde la termjnal esta alojada podrá detectar 1a información que esta siendo exhibida por la terminal.

~ .. **** PROTECCION BASADA EN lenguaje ****

La protección que se ofrece en- tos sistemas de computación existentes casi

siempre se ha logrado con la ayuda del núcleo de un sistema operativo, que actúa

como agente de seguridad que inspecciona y valida cada intento por acceder a un

recurso _protegido.

A medida que ha aumentado la complejidad de los sistemas operativos 'os objetivos de la protección se han vuelto mas refinados.

Los diseñadores de los sistemas de protección se han apoyado mucho en ideas

que se originaron en los lenguajes de programación especialmente en los

conceptos de tipos de datos abstractos y .objetos. Los sistemas de protección

ahora se ocupa n no solo se la identidad de un recurso al cual se intentan acceder,

sino también de la naturaleza funcional.

La protección ya no puede considerarse con)o un asunto que solo concierne a' -,

diseñador de un sistema operativo; También debe estar disponible con1o _I!'.. Herramienta que el diseñador de

aplicaciones pueda .usar para proteger recursos de un sistema de aplicación contra intervenciones o errores, . .; Es aquí donde los lenguajes de programación entran en escena, Donde

especifican el control de acceso deseado a un recurso compartido. La-

especificación de acceso tiene varias ventajas importantes:

De las necesidades de protección se declaran de forma sencilla en vez de programarse como u1:1a secuencia de llamadas a procedimientos de un sistema operativo.

O 4s necesidades de protección pueden expresarse independientemente de los

recursos que ofrezca un sistema operativo en particular.

El uso de protección basado en lenguaje de programación p describir en un alto

nivel las políticas de asignación y uso de recurso

MODELOS FORMALES DE PROTECCION La necesidad de protección surge cuando Ios sujetos comparten información, El objetivo de muchos esquemas de protección es reforzar el principio de mínimo privilegio y asegurar que la utilidad y los otros usuarios

-o= no obtengan acceso a ningún dato más que a los explícitamente necesarios para realizar la tarea en cuestión. ..,--

los modelos formales de protección proporcionan un aparato para Ja rmulación

precisa y pata el razonamiento respt(to ala cor;rección y

..complejidad de las diferentes políticas y n\ecanismos de seguridad.

tI Modelo Tomar-Conceder -. tJ Modelo Bel a Padula

MODELO TOMAR -CONCEDER

~ Es un modelo basado en grafos que describe una clase restringida de sisten1as

de protecc~n. La seguridad de loS sistemas tomar-conceder es decjdibJe incluso

si es posible crear un nu.mero de sujetos y objetos ilimitado. Este mode~

considera el sistenla de protección formado por-: 1,- Un conjunto de sistemas, ..2~- Un conjunto de objetos. ". 3.- Un conjunto de derechos. En el modelo tomar conceder, un estado de protección se describe como un grato G cuyos vértices representan sujetos y objetos del sistema y cuyos arcos representan derechos de acceso. El modelo define cinco operaciones prinlitivas: * Crear sujeto * Crea r objeto * Tomar

* Conceder

* Suprimir (el derecho de acceso)

La aplicación de estas operaciones produce cambios en el estado del sistema.

Este modelo describe la transferencia de derechos de acceso. La principal inJportancia de este nJodelo consiste en la denIostracK)n de que las

decisiones de seguridad pueden ser relativamente sencillas en sistemas un tanto

restringidos.

MODELO BELL-LAPADULA Bell y LaPadula han ideado un modelo de proteccion, que lleva su nombre, el sistema de p...oteccion se visualiza como:

1.- Un conjunto de sujetos. 2.- Un conjunto de objetos. 3.- Una matriz de accesos.

Cada entrada de la matriz de accesos puede contener un conjunto de de..echos

de accesos, además cada sujeto tiene asignada una auto..ización y cada objeto

tiene asignado un nivel de auto..idad

CRIPTOGRAFIA

Un modo de forzar fa seguridad en sistemas informáticos es cifrar los

registros y mensajes sensibles en transito y en almacenamiento.

El texto o.-iginal sin cif.-a.- se denomina texto ~.

Puede se.- cif.-ado utilizando 'algún nlétodo de cifrado

El resultado se denomina texto cifrado.

El aumento de confianza en la integridad de sistemas que utilizan cifrado esta basado en la noción de que el texto cifrado d'ebería resultar difícil de descifrar sin el conocimiento de la clave. Al arte de descubrir cifrados se le denomina crigtoanálisis. Hay tres tipos básicos de ataques para ruptura de códigos: Atague de texto cifrado: Ocurre cuando un adversario entra en posesión

únicamente del texto cifrado.

Atague del texto conocido: Ocurre cuando el intruso dispone de algunas porciones

correspondientes del texto cifrado y del texto llano.

Atague del texto llano elegido: En el cual el atacante tiene capacidad para

cifrar trozos de texto llano a voluntad.

***** SISTEMAS ()E PROTECCION BASADOS EN CAPACI()ADES *****

SISTEMAS DE PROTECCION BASADOS EN CAPACIDADES

HYDRA BASAOO EN CAPACIDADES PROPORGIONA DE AGCESD. I DE NTIFICACION ENTRAR. DERECHOS Al JECANSrvDS PROTECCION ARCHIVOS PRIVADOS DE PARA Políticas PARA El USO DE RECURSOS. SISTEMA CAf'JBRlOOE CAP MÁS POTENTE QUE El SISTEMA HYDRA. PROPORCIONAR PROTECCION A PROCEDIMIENTOS DE USUARIOS. PROTEGER Al SOFTWARE. NO PERMTE EL ACCESO A UN USUARIO QUE SE HA y A VERIFICA CION. PROPORCIONAR UN INFORME SEGURO. MECANISMOS DE PROTECCIÓN

Son técnicas que se utilizan en ios sistemas operativos con el fin de proteger

archivos y otros elementos. Todas estas técnicas hacen una clara distinción entre

política (Ios datos de quién se protegerá de quién) y mecanismo (cómo refuerza la

política el sistema).

Dominios de protección

Un sistema de computación contiene muchos objetos que necesitan protegerse" Estos objetos pueden ser elementos de hardware, como unidades centrales de procesamiento, segmentos de la memoria, terminales, unidades de disco o impresoras o bien pueden ser elementos de software, como procesos, archivos, bases de datos o semáforos.

Cada objeto tiene un nombre único por el cual se refiere y un conjunto de operaciones que se pueden ejecutar con él. Los objetos son el equivalente del sistema. operativo de lo que en lenguajes de programación se conocen como tipos de datos abstractos.

Esta claro que se necesita contar con alguna manera de prohibir que los procesos accesen objetos a los que no tienen acceso autorizado. Además, este mecanismo también debe hacer posible limitar los procesos aun subconjunto de las operaciones legales cuando se necesite. Por ejemplo, el proceso A puede tener derecho a leer, pero no a escribir, el archivo F.

Sin embargo, es cuestionable si el mecanismo disponible (los comandos de protección) es adecuado para reforzar alguna política de protección. Para poner un ejemplo simple de una política, considérese el esquema de seguridad utilizado por los militares. Cada objeto es no clasificado, confidencial, secreto o uItra secreto. Cada dominio (y por lo tanto cada proceso)" también pertenece a uno de estos cuatro niveles de seguridad. La política de seguridad tiene dos reglas:

1. Ningún proceso puede leer ningún archivo cuyo nivel sea más alto que el propio, pero puede leer libremente objetos de un nivel inferior o de su propio nivel. Un proceso secreto puede leer objetos confidenciales, pero no ultra secreto.

2. Ningún proceso puede escribir información en algún objeto cuyo nivel sea inferior que el propio. Un proceso secreto puede escribir en un archivo ultra secreto ero no en uno confidencial. PROTECCION

Los mecanismos que previenen el acceso no autorizado se denominan como mecanismos de protección. Podemos hablar de la protección como una área que abarca varios aspectos de la seguridad, que resulta una meta en loS sistemas distribuidos y los mecanismos de protección son sólo una parte para lograr esa meta.

El fin de estos mecanismos es el de prevenir que algunos usuarios puedan robar espacio en disco, ciclos de procesamiento, que los archivos no sean leídos por personas ajenas o que modifiquen bases de datos que no les pertenezcan.

Los mecanismos de protección tienen que poner atención en los siguientes temas:

.Privacidad de almacenamiento. Se refiere a que los usuarios deben poder mantener su información en secreto; dicho en otras palabras, prevenir que otros usuarios la vean.

.Privacidad en el paso de mensajes. La privacidad tiene que ver con que a los

usuarios se les garantice que la información que entreguen sea usada solamente

para los propósitos para los que fue remitida. i

.Aute111ticidad. La información que se entregue a algún usuario debe ser autentica, es decir; se debe poder verificar y asegurar la fuente de donde proviene la informaci6n.

Integridad. La información almacenada por el sistema no debe ser corrupta ya sea por el sistema o por algún usuario no autorizado.

Los objetos resguardados por los mecanismos de protección van desde los

archivos y los directorios, hasta los procesos, y aún los mismos dominios de protección.

SEGURIDAD

La seguridad y la protección se encargan del control del uso y del acceso no autorizado a los recursos de hardware y software de un sistema de computación, ya que organizaciones de negocios y oficinas de servicios usan en gran medida alas computadoras para almacenar información, por lo que es necesario prevenir su uso y acceso no autorizado. La seguridad en los sistemas computacionales puede dividirse en dos tipos: seguridad externa y seguridad interna.

La seguridad externa (llamada comúnmente seguridad física), se encarga de regular el acceso al hardware del sistema, incluyendo: discos, cintas, reguladores y no-breaks, acondicionadores de aire, terminales, procesadores.

La seguridad interna se encarga del acceso y uso del software almacenado en el sistema. A diferencia de la seguridad física, existe el tema de autenticaci6n, en el cual el usuario se registra (Iogin) en el sistema para acceder a los recursos de hardware y software del mismo.

Un tipo de seguridad es la seguridad con Firewall muy efectiva en redes. Intenta prevenir los ataques de usuarios externos a la red interna. Tiene múltiples propósitos:

~ -Restringir la entrada a usuarios a puntos cuidadosamente controlados -Prevenir los ataque -Restringir los permisos de los usuarios a puntos cuidadosamente controlados Un Firewalls es a menudo instalado en el punto donde la red interna se conecta

con Internet. Todo trafico externo de Internet hacia la red pasa a través del

Firewall, así puede determinar su dicho trafico es aceptable, de acuerdo a sus

potíticas de seguridad.

Lógicamente un Firewall es un separados, un analizador, un limitador. La

implementaci6n física varia de acuerdo al lugar. A menudo, un Firewall es un

conjunto de computadoras de hardware un router, un host, una combinación de

routers, computadoras y redes con software apropiado. Rara vez es un simple

objeto físico. Usualmente esta compuesto por múltiples partes y algunas de esas

partes puede realizar otras tareas.

La conexión de Internet también forma parte de Firewall. Un Firewalls es vulnerable, el no protege de la gente que esta dentro de la red interna. El Firewall trabaja mejor si se complementa con una defensa interna. Un Firewall es la forma mas efectiva de conectar una red a Internet y proteger su red. Los Firewalls también tienen distintas necesidad de seguridad.

MEDIDAS BÁSICAS DE SEGURIDAD

En general se puede afirmar que si la llave privada solo es conocida y accesible

por el sujeto A, sería prácticamente imposible, para otro sujeto B, falsificar una

firma digital del sujeto A, o abrir un sobre digital dirigido al sujeto A, utilizando

métodos matemáticos. El atacante de un sistema va a centrar su esfuerzo en

encontrar debilidades en la implementación del software o hardware de seguridad.

A continuación se mencionan los dos puntos de ataque más comunes: Generación

de Qúmeros aleatorios.

La generación de las llaves utiliza métodos pseudo aleatorios por lo que es muy

importante

que un sujeto B no puede replicar el procedimiento que siguió un sujeto A cuando

este generó sus llaves.

Ataaue a la Llave Privada

La llave privada, que normalmente reside en un archivo debe mantenerse

encriptada con un algoritmo simétrico, utilizando como llave una contraseña.

La contraseña debe ser elegida por el usuario en forma tal que resulte

impredecible para quien intente adivinarlo por asociación de ideas. La encriptación

por contraseña es normalmente presa de ataques denominados de diccionario que

buscan exhaustivamente entre un conjunto de palabras formadas por letras del

abecedario.

Otro ataque más sutil se concentra en intentar por prueba y error las posibles

contraseñas que un sujeto utiliza en base a acciones de idea$, por ejemplo, su

apodo, el nombre de su esposa, su apodo y fecha de nacimiento, etc.

PROTECCIÓN DE MEMORIA

En un entorno de multiprogramación, la protección de la memoria principal es fundamental. El interés no es sólo la seguridad, sino también el funcionamiento correcto de los diversos procesos que estén activos. Si un proceso puede escribir inadver1idamente en el espacio de memoria de otro proceso, este último puede que ejecute correctamente.

La separación del espacio de memoria de los diversos procesos se lleva a cabo fácilmente con un esquema de memoria vir1ual. La segmentación, paginación o la combinación de ambas proporciona un medio eficaz de gestión de la memoria principal. Si se persigue un aislamiento total, el sistema operativo simplemente debe asegurar que cada segmento o cada página es accesible sólo para el proceso al que está asignada. Esto se lleva a cabo fácilmente exigiendo que no haya eLltradas duplicadas en las tablas de páginas o segmentos.

Si se va a permitir la compartición, el mismo segmento o página puede ser referenciado en más de una tabla. Este tipo de compartición se consigue mejor en un sistema que soporta segmentación o una combinación de segmentación y paginación. En tal caso, la estructura del segmento es visible ala aplicación y la aplicación puede declarar segmentos individuales como compartibles o no compartibles. En un entorno de paginación pura, se hace mas difícil discriminar entre los dos tipos de memoria debido a que la estructura de memoria es transparente a la aplicación. CRIPTOGRAFIA

La palabra "Criptografia" viene del griego "Kryptos", escondido, y "Graphos",

escritura. Es decir, cuando hablarnos de Criptografia estalnos hablando de

"Escritllra escondida " .Se trata de escribir algo de manera que otra persona que

quiera leer lo que hemos escrito no pueda entenderlo a no ser que conozca cómo

se ha escondido.

El objetivo de la criptografia es el de proporcionar comunicaciones seguras (y

secretas) sobre canales inseguros.

Los sistemas criptográficos están teniendo un gran auge últimalnente ante el

miedo de que una transmisión en Internet pueda ser ipterceptada y alglm

desaprensivo pueda enterarse de alguna infonnación que no debería. y no

estamos hablando de un coITeo electrónico en el que organizalnos las vacaciones

con los amigos. Nos referimos a, por ejemplo, una transacción comercial de

cientos de miles de pesos o una infonnación sobre detenninados temas

empresariales que podría hacer las delicias de un competidor .

f Hay muchos sistemas para "camuflar" lo que escribimos. Quizá el más fácil

sea la "transposición" del texto. Consiste en cambiar cada letra del texto por otra

distinta. Por ejemplo, si escribo "boujwjsvt", solamente las personas que supieran

que se ha puesto la letra siguiente del alfabeto para escribir la palabra " antivirus "

podrían entender la palabra.

Evidentemente, los sistemas criptográficos actuales van mucho más allá de un

sistema como el de transposición, fácil de descubrir en unos cuantos intentos.

Incluso si en lugar de transponer un determinado número de espacios elegimos

aleatoriamente las letras a sustituir, también bastaría con un ordenador que tuviera

un simple coITector ortográfico para, en unos cuantos intentos, descubrir el

significado de un mensaje.

Servicio de

Privacidad criptográfico

Criptoanálisis

Criptografía

METODOS Y TÉCNICAS

DE ENCRIPTACION

Cesar

Gronsfeld

RSA

DES

Chaffing & Winnowing

SKIPJACK

BIFIDO

WLBYKYAAOTB

RSA Este criptosistema es uno de los más usados hoy en día. Es un sistema asimétrico con claves de larga longitud (512 bits). Es considerado uno de los sistemas más seguros de la achlalidad. Su principal problema radica en su incapacidad, debido a su baja velocidad, de encriptar y/o decriptar grandes volílmenes de datos.

Diffie-Helman (Key Exchange)

El protocolo Diffie-Hellman es usado únicamente para establecer lma clave de

sesión entre dos usuarios o procesos. Su principal ventaja con respecto a

criptosistemas como RSA es que no necesita encriptar ni decriptar ninguna

infonnación que debe ser transmitida.

Diversos sistemas criptográficos han sido desarrollados a lo largo de la historia.

Sólo un grtlpO reducido de esos sistemas son considerados realmente "segtlfos"

en la actualidad. No obstante, el auge de las redes y la proliferación de servicios a

través de éstas ha ejercido presión en el área de la criptografia, en demanda de

tecnologías que garanticen altos niveles de seguridad.

DES (Data Encryption Estandard)

Este es el criptosistema más usado actualmente en el mlmdo. Sin embargo, por

razones de edad, no debe segtlirse usando en aplicaciones que necesiten un alto

grado de segtlridad. Un ejemplo práctico donde se demllestra qlle DES ya no es

segllfo, fue realizado por la "Electronic Frontier Folmdation" (EFF) en Julio de

1998. La prueba realizada por la EFF consistió en desarrollar lma máquina con

miles de chips especiales que pllede romper una clave DES en menos de tres

días.

JDES (Triple DES)

Este criptosistema es lma variante de DES. La diferencia entre DES y 3DES radica

en que el último algoritmo realiza dos operaciones de encripción y lma de

decriptan;liento usando el algoritmo DES. Su I. principal desventaja con

respecto a DES es que es tres veces más lento. El inconveniente de la velocidad

se hizo en pro de conseguir mayor seguridad, ya que a diferencia de

.su antecesor, 3DES si es seguro.

IDEA(International Data Encryption Algorithm)

Hasta ahora no ha habido ningún ataque que haya podido penetrar la segtlrÍdad

de este algoritmo, sin embargo, es conveniente mencionar que para que un

criptosistema pueda ser considerado confiable es recomendable que supere dos

décadas de vida pública sin que haya podido romperse su segtlridad. El principal

inconveniente que presenta IDEA es su corta vida, pues ftle creado a principios de

la década de los noventa por lo que .todavía carece del tiempo recomendable para

poderlo considerar "seguro".

Skipjack

Este criptosistema fue desarrollado y es usado por la NSA. El hecho que la NSA lo

este usando hace suponer que eS bastante seguro, sin embargo, no es posible

realizar mayores análisis pues el algoritmo usado por este criptosistema está

mantenido en secreto .

Cifrar un mensaje en función de un número primo

Cada letra ~n un mensaje tiene un número asociado que nunca varía. El número

está establecido por el código denominado ASCII. El conjunto de caracteres ASCII

define cada carácter con un nílmero que va desde el O al 255. Por ejemplo, la letra

"A" mayílscula tiene el código 65, la "z" minílscula tiene el código 122, etc.

Cualquier texto escrito en un ordenador se puede trasladar a notación ASCII. Por

ejemplo, en código ASCII la palabra "antivirus" es:

\

97110 116105 118105114117 115

Así tenemos una cadena de números ( que es como realmente se transmite la

infonnación digitalmente) que podríamos multiplicar por lm níunero que sea la

multiplicación de dos níuneros primos. Si elegirnos, por ejemplo, 1.4 (multiplicando

2 y 7), la cadena de números nos quedaría así:

13581540 1624147016521470 159616381610

La persona que quiera leer lo que pone, primero deberá averiguar cuál es el

número que hemos utilizado para cifrar la infonnación. y para ello deberá adivinar

cuáles son los dos factores que hemos utilizado para cifrar la infonnacjón.

Evidentemente, en este ejemplo e~ muy fácil, 14 = 7 x 2.

Sin embargo, si utilizamos números muy grandes, el problema se complica. Por

ejemplo, si utilizamos el número 2.591.372.723, su descomposición en dos

factores primos ya no es tan inmediata. A pesar de eso, en muy poco tiempo

veríamos que es el producto de 97.453 y 26.591.

La longitud de estos níuneros (16 que se llama el tamaño de la clave) es

primordial para que un cifrado sea más o menos efectivo. En el primer ejemplo, si

pasamos anotación binaria el níunero 14 veríamos qu~ se escribe 1110, un

número de 4 bits. ~ segundo ejemplo, 2.591.372.723, se escribe en binario como

I00lI0I00II1o1o1oo11o1o11o11oo11, 32 bits. y en los sistemas de cifrado actuales

una clave de menos de 400 ó 500 bits se considera ridícula. Lo más nonnal es

utilizar , como poco, ¡ ¡ ¡ 1.024 bits de longitud de clave!!!

Ventaja del cifrado

.La confidencialidad está prácticaInente asegurada, nadie que no conozca las

claves con las que se ha enviado el correo electrónico podrá enterarse de qué es

lo que hay en el correo. Así podremos mandar todo tipo de información con la

tranquilidad de que estará a salvo de teóricas intercepciones de la comunicación.

Problema del cifrado

.El antivirus pierde toda su eficacia ante un mensaje cifrado. interno. De nada sirve controlar muy ien el acceso a la base de datos de nóminas, si un operador de una compañía d"stribuye listas de personal con sus nóminas y datos personales. Otro ejemplo es la realización de transacciones comerciales a través de Internet, en muchas de las cuales se envían números de tarjeta de crédito sin protección. Solución de este tipo de problemas requiere actuaciones externas al sistema operativo que pueden ser incluso policiales.

El control del acceso a datos y recursos si es competencia directa del sistema operativo. Es necesario asegurar que los usuarios no acceden a archivos para los

que no tienen permiso de acceso, a cuentas de otros usuarios o a páginas de memoria o bloques de disco que contienen información de otros usuarios (aunque ya estén en desuso). Para conseguirlo hay que aplicar criterios de diseño riguroso y ejecutar pruebas de seguridad exhaustivas para todos los elementos del sistema, aunque se consideren seguros. El control de acceso incluye dos problemas que son: autenticación de usuarios y protección frente a accesos indebidos.

MECANISMOS DE PROTECCIÓN

Los distintos procesos en un sistema operatÍ""," .j.: ~- ~ " est-ar ;::-:1~:..;idos ..

contra las actividades de los demás. Por e:;to existen \!ar;.. :: r~";:anismos que ,

pueden usarse para asegurar que los archivos, los segm~1-:~~ : de memoria- ;a

CPU y otros recursos s¿lo puedan ser utilizados por aqu:-I;::: ~ "()t:esos q\.Je han

recibido la autorizació: adecuada del sistema operátivO..

.SEGURIDAD EXTERNA.

La seguridad externa consiste en seguridad física y 3eguridad de operación. La seguridad física incluye la protección contra desastres y Ic , prJt~cción contra intrusos. Los mecanismos de detección son irí portantes para la seguridad física; los detectores de humo y los sensores de ca,lor puedef'\ proporcionar un aviso temprano en caso de incendio; los detectores de movimiento pueden determinar si ha entrado un intruso en una instalación de cómputo.

.Poner en prá:t:ca la protección contra desastres puede resulta. costo,so, , pero es obvio que .a necesidad de este tipo de proteccic!': depend'. de las consecuencias de U:1~ pérdi ~. En la mayoría de las orga- "-aciones se ".nfocan en la seguridad física que se en;:amina hacia el recrazo de intruso. Las instalaciones utilizan diversos tipos de sistemas de identificación física, como por ejemplo, las credenciales con firmas fotografías o las dos cosas. Los ..sistemas de huellas dactilares o de patrón de I l, etc.

interno. De nada sirve controlar muy ien el acceso a la base de datos de nóminas, si un operador de una compañía d"stribuye listas de personal con sus nóminas y datos personales. Otro ejemplo es la realización de transacciones comerciales a través de Internet, en muchas de las cuales se envían números de tarjeta de crédito sin protección. Solución de este tipo de problemas requiere actuaciones externas al sistema operativo que pueden ser incluso policiales.

El control del acceso a datos y recursos si es competencia directa del sistema operativo. Es necesario asegurar que los usuarios no acceden a archivos para los que no tienen permiso de acceso, a cuentas de otros usuarios o a páginas de memoria o bloques de disco que contienen información de otros usuarios (aunque ya estén en desuso). Para conseguirlo hay que aplicar criterios de diseño riguroso y ejecutar pruebas de seguridad exhaustivas para todos los elementos del sistema, aunque se consideren seguros. El control de acceso incluye dos

problemas que son: autenticación de usuarios y protección frente a accesos indebidos.


Los distintos procesos en un sistema operativo debe estar protegido contra las

actividades de los demás. Por e:;to existen varios mecanismos que , pueden

usarse para asegurar que los archivos, los segmentos de memoria y la CPU y

otros recursos solo puedan ser utilizados por aquellos procesos que an recibido

la autorizació: adecuada del sistema operátivO..

.SEGURIDAD EXTERNA.

La seguridad externa consiste en seguridad física y 3eguridad de operación. La seguridad física incluye la protección contra desastres y Ic , prJt~cción contra intrusos. Los mecanismos de detección son irí portantes para la seguridad física; los detectores de humo y los sensores de ca,lor puedef'\ proporcionar un aviso temprano en caso de incendio; los detectores de movimiento pueden determinar si ha entrado un intruso en una instalación de cómputo.

.Poner en prá:t:ca la protección contra desastres puede resulta. costo,so, , pero es obvio que .a necesidad de este tipo de proteccic!': depend'. de las consecuencias de U:1~ pérdi ~. En la mayoría de las orga- "-aciones se ".nfocan en la seguridad física que se en;:amina hacia el recrazo de intruso. Las instalaciones utilizan diversos tipos de sistemas de identificación física, como por ejemplo, las credenciales con firmas fotografías o las dos cosas. Los ..sistemas de huellas dactilares o de patrón de I l, etc.


El control del acceso a datos y recursos si es competencia directa del sistema operativo. Es necesario asegurar que los usuarios no acceden a archivos para los que no tienen permiso de acceso, a cuentas de otros usuarios o a páginas de memoria o bloques de disco que contienen información de otros usuarios (aunque ya estén en desuso). Para conseguirlo hay que aplicar criterios de diseño riguroso y ejecutar pruebas de seguridad exhaustivas para todos los elementos del sistema, aunque se consideren seguros. El control de acceso incluye dos problemas que son: autenticación de usuarios y protección frente a accesos indebidos.


El control del acceso a datos y recursos si es competencia directa del sistema operativo. Es necesario asegurar que los usuarios no acceden a archivos para los que no tienen permiso de acceso, a cuentas de otros usuarios o a páginas de memoria o bloques de disco que contienen información de otros usuarios (aunque ya estén en desuso). Para conseguirlo hay que aplicar criterios de diseño riguroso y ejecutar pruebas de seguridad exhaustivas para todos los elementos del sistema, aunque se consideren seguros. El control de acceso incluye dos problemas que son: autenticación de usuarios y protección frente a accesos indebidos. ;. Modelos de Seguridad.

Un modelo es un mecanismo que pennite hacer explícita una política de

seguridad. En segtlridad, los modelos se usan para probar la completittld y 1a

coherencia de la política de se~dad. Además, pueden aytldar en el diseño del

sistema y sirven para comprobar si la implementación cumple los requisitos de

segtlridad exigida. Dependiendo de los requisitos, los modelos de segtlridad se

pueden clasificar en dos grandes tipos:

.Modelos de segltridad multinivel.

Penniten representar rangos de sensibilidad y reflejar la necesidad de separar

rigllfosamente los sujetos de los objetos a los que no tienen acceso. Suelen ser

modelos abstractos y muy generales, lo que los convierte en muy complejos,

difíciles de verificar y muy costosos de implementar.

.Modelos de seguridad limitada.

Se centra en responder formalmente la propiedades que lm sistema seguro debe

satisfacer, pero introduciendo restricciones a I los sistemas de seguridad

multinivel. Todos ellos se basan en dos principios:

1. U san la teoria general de la computación para definir un sistema formal de

reglas de protección.

2. Usan una matriz de control de acceso, en cuyas filas están los sujetos y

columnas los objetos.

POLITICAS DE SEGURIDAD.

La función de la protección en un sistema computacional es la de proveer un

mecanismo para la aplicación de políticas que gobiernen el uso de los recursos.

Estas políticas pueden ser establecidas de varias maneras. Alunas son fijadas

durante el diseño del sistema, mientras que otras son formuladas como parte de la

administración en la ejecución del sistema. Y otras son definidas por usuarios

individuales para proteger sus archivos y problemas.

, Política Militar.

Esta es una de las po]íticas más popularmente conocidas y también de las más

estrictas, por ]0 que casi nunca se aplica en su totalidad. Se basa en la

clasificación de todos los objetos con requisitos de seguridad en uno de los cinco

nive]es de seguridad siguientes:

.Desclasificado. .Restringjdo.

.Confidencial. . .Secreto. . .Alto Secreto.

Y en c]asificar también a los usuarios según el nivel al que pueden acceder . El

acceso a la información se controla por la regla de lo que se necesita saber. Sólo

se permite el acceso a datos sensibles a quien los necesita para hacer S4 trabajo.

De esta forma se puede compartimentar a los usuarios, haciendo más estricta la

regla general de acceso. Un compartimento se puede extender a varios niveles y

dentro del mismo se aplica también la regla general de acceso. Usar

compartimentos pem1ite establecer conjuntos de usuarios que acceden a la

información y ocultar documentos a usuarios con el mismo nivel de seguridad. ,

Con esta política, cada pieza de infonnación se debe clasificar usando la

combinación <nivel, compartimento> .

~ Políticas Comerciales. .

Basándose en la política militar, pero generalmente debilitando las restricciones de

seguridad, se han diseñado varias políticas de uso comercial. Algunos ejemplo de

ellas son las de Clark -Wilson, separación

deberes o la muralla china. Aunque son menos rígidas que la militar , todas

ellas usan los principios de compartimentación de los usuarios y de

clasificación de la información.

La política de la muralla china clasifica a objetos y usuarios en tres niveles

de abstracción :

Objetos. Grupos. Clases de conflicto.

Cada objeto pertenece a un {mico grupo y cada grupo a tma única clase de conflicto. Una clase de conflicto, sin embargo, puede incluir a varios

gnlpOS. Por ejemplo, suponga que existe info,nnación de tres fabricantes de

automóviles (VolksWagen, Seat y General Motors) y dos bancos (BSCH y BBV A).

Con la muralla china existen 5 grupos y 2 clase de conflicto (bancos y

automóviles). La política de control de acceso es sencilla. Una persona puede

acceder ala iilfonnación siempre que ,antes no haya accedido a otro gnlpO de

clase de conflicto a la que pertenece la infonnación a la que quiere acceder .

accesorio de la misma. La confidencialidad implica que el mensaje no haya podido

ser leído por terceras personas distintas del emisor y del receptor durante el

proceso de transmisión del mismo.

Cómo funciona la firma digital?

El proceso de finna digital de un mensaje electrónico comprende en realidad dos

procesos sucesivos: la finna del mensaje por el emisor del mismo y la verificación

de la finna por el receptor del mensaje. Esos dos procesos tienen lugar de la

manera que se expresa a continuación, en la que el emisor del mensaje es

designado como Angel y el receptor del mensaje es designado como Blanca: ' .

IMPLANTACI.ON DE MA TRICES CON DERECHOS DE ACCESO.

un modelo de protección puede ser visto abst.ractamente como una . matriz,

llamada matriz de derecho. Los renglones de la matriz

representan dominios y las columnas representan objetos. Cada

entrada en la matriz contiene un conjunto de derechos de acceso.

Dado que los objetos son definidos explícitamente por la columna, se puede omitir

el nombre del objeto en el derecho de acceso. La entrada !I Matriz[i., .;1" define el

conjunto de operaciones que un

proceso e.jecutándose en el dominio !lDj!l puede realizar sobre el ob.jet.o "Oj".

Considérese la siguiente matriz de acceso:

Hay 4 dominios y 5 objetos: 3 Archivos ("Al", "A2", "A3") 1 Puerto Serial y 1

impresora. Cuando un proceso se ejecuta en 01, puede . leer los archivos !lA 1 " y

!lA3!1 .

r

Un proceso ejecutándose en el dominio !lD4!1 tiene los mismos

privilegios que en "Dl!1, pero además puede escribir en los archivos. Nótese que

en el puerto serial y la impresora solo se pueden ser ejecutados por procesos del

dominio !lD2".

MECANISMOS Y :politicas. (LIMITACIO'NeS)

La función de la protección en un sistema computacional es la . proveer un

mecanismo para la aplicación de polfticas que gobiernen el uso de los recursos.

Estas políticas pueden ser establecidas de varias maneras. Algunas son fIjadas

durante el disetio del sistem~ mientras que otras son formuladas como parte de la

administración en la ejecución del sistema. Algunas otras son defInidas por

usuarios individuales para proteger sus archivos y programas. Un sistema de

protección debe tener la flexibilidad para ~Iicar las políticas que ~ declaradas para

ello.

Las políticas para el uso de recursos puede variar, dependiendo de la aplicación y

pueden estar sujetas a cambios. Por estas razones, la potección no puede ser

considerada como un problema que solamente concierne al diseftador de un

Sistema Operativo, sino que debe considerarse, como una herramienta para los

programadores de aplicaciones, de manera que los recursos creados y soportados

por UD subsistema de apllcaci6n- puedan ser protegidos contra el mal 18),

Un principio importante es la separación entre política y mecanismo, Los -../8'"OS

detem\inan como será reali1.ado allO, :8n contrute, las politiC:QS deciden que es

lo que le realigrá, :81 pollble que III poUticas cambien de lugar en lular o de tiempo

en tiempo, :8n el peK:Jt de los caso~ cada cambio en la política requerirá un

cambio en el subyacente mecanismo,

limitaciones

Protección por contraseña

El usuario escoge una palabra clave, la memoriza y después la teclea p~ obtener acceso a un sistema de cómputo. La mayor parte de los si~as suprimen la impresión o despliegue de la contraseña mientras se teclea.

Ventajas:

Solo el usuario tiene acceso a los datos.

No pemlite el despliegue de la contTaseña en pantalla mientras se teclea.

Daventaja:

Se basa en la memorización del usuario.

Existen programas capaces de de encontrar la contraseña a través de múltiples

combinaciones de letras. l)q>ende mucho de la seguridad del administrador del sistema operativo.

Limitaciones:

La capacidad de memoria del usuario

~ ..

Criptografia

La criptogra:fia es el empleo de transformaciones de los datos a fin de hacerlos

incomprensibles para todos con excepción de sus usuarios autorizados.

Vmtajas:

Solo el emisor y el rec«ptor del mensaje pueden leerlo.

Que el mensaje no puede ser alterado no lo puede modificar .

Desventaja:

Se debe tener cuidado con el códi'go

Li_itaciones:

La capacidad del programador para desarrollar algoritmo de encriptación

,:;f1ciente.

encapsulado

El encapsulado en ocultar los detalles de implementación de un objeto pero pm) ala vez se provee una interfaz publica por medio de sus O~raciones penniridas. Se define también como la propiedad de los o~tos de pennitir el acceso a su estado únicamente a través de su intt!rlaz o de relaciones preestablecidas como otros objetos.

Ventajas: Se puede ocultar la información importante a los usuarios y solo muestta la

infonnación necesaria.

Evita el uso mal intencionado de la infonnación. Desven tajas: Se restringe mucho al usuario dependiendo del programa que este utilizando.

limitaciones: el control de detalles de acceso privado y publico.

Huella digital

una. huella digital es un conjunto de datos asociados a 1Dl mensaje que pe2miten

asegurar que el mensaje no fue modificado.

Ventaja: Permite conocer si un mensaje fue alterado.

El. código para tener acceso a los datos. de la huella digital debe ser el m.i8no que se use para crearla y IeerIa.

Desventaja:

no evita la modificación del archivo

MECANJ MOS DE PROTECCIO N . Metas de la protección

Existen varios mecanismos que pueden usarse para asegurar los archivos, segmentos de

memoria, CPU, y otros recursos administrados por el Sistema Operativo .

Por ejemplo, el direccionamiento de memoria asegura que unos procesos puedan

ejecutarse solo dentro de sus propios espacios de dirección. El timer asegura que

los procesos no. obtengan el control de la CPU en forma indefinida.

La protección se refiere a loS mecanismos para controlar el acceso de programas,

procesos,.

o usuarios a los recursos definidos por un sistema de computación Seguridad es la

serie de","" problemas relativos a asegurar la integridad del sistema y sus datos.

Hay importantes razones para proveer protección La más ob\1a es la necesidad de prevenirse de violaciones: intencionales de acceso por un usuatio Otras de importancia son, la necesidad de asegurar que cada componente de un programa, use solo los recursos del sistema de acuerdo con las políticas fijadas para el uso de esos recursos

Un recurso desprotegido no puede defenderse contra el uso no autorizado o de un

usuario incompetente Los sistemas orientados a la protección proveen maneras de distinguir entre uso autorIzado y desautorizado

mecanlsmos y Políticas

El rol de la protección es proveer un mecanismo para el fortalecimiento de las

políticas que gobiernan el uso de recursos. Tales políticas se pueden establecer

de varias maneras. algunas en el diseño del sistema y otras son formuladas por el

administrador del sistema. Otras pueden ser definidas por los usuarios individuales

para proteger sus propios archivos y programas .~: Las políticas son diversas, dependen de la aplicación y pueden estar sujetas a cambios a Idc~ largo del tiempo. ,

Un principio importante es la separación de políticas de tos mecanismos. 'Los mecanismos determlnan como algo se hará. Las politicas ,. deciden que se hará " la separación es importante para la flexibilidad del sistema. ..

limitaciones

La vigilancia se compone de la verificacion y la auditoria del sistema. v la identifica_"' de usuarios. -

VENTAJAS

.En la vlgilancia se usan sistemas muy sofisticados, por lo tanto hay menos

probabilidad que ocurra un ataque.

DESVENT AJAS

.A veces pueden surgir problemas en la autentificación generando. un rechazo al

usuario legít..imo

Monitoreo de amenazas

Una manera de reducir los riesgos de seguridad es tener rutinas de control en el sistema operativo para permitir o no el acceso a un usuario. Estas rutinas interactuan con los programas de usuario y con los archivos del sistema. De esta manera, cuando un usuario desea realizar una operación con un archivo, las rutinas determinan si se niega o no e1

.acceso y en caso de que el mismo fuera permitido de,f\.lelven los resultados del proceso

VENTAJAS

.Las rutinas de control permiten detectar los intentos de penetración al sistema y

advenir en consecuencia.

DESVENTAJAS.

.A veces puede ser muy estricto que no permita al usuario hacer algunas

operaciones necesarIas.

Protección por contraseña

E;xisten tres clases principalmente de elementos que permiten establecer la

identidad de un usuaflo. .

.Algo sobre las personas. Esto incluye huellas digitales, reconocimiento de VOl,

fotografia y firmas.

.Algo poseído por la persona. Esto incluye distintivos, tarjetas de identíficación y

Ila ves

.tipo conocido por el usllario E,sto incluye contraseñas, nombre de la suegra, combinación de cerraduras. El esq\.lema de autentificación más común es la simple

protección por contraseña El usuario elige una palabra que se le viene a la

memoria, y la tipea de inmediato para ganar admisión al sistema de computación.

VENTAJAS.

.Si llsas una contraseña larga, esta tendrá menos posibilidades de que sea

descifrada .y por lo tanto podras proteger tu información. ..

DESVENTAJAS

.La protección por contraseña es un esquema débil. En el sentido de que los usuarios tienden a elegir contraseñas fáciles de recordar. Entonces al.guien que conoce al usuario podría intentar ingresar al sistema usando nombres de gente que la persona conoce

auditoria

La auditoria normalmente es realizada en sistemas manuales "después del hecho" Los auditores son llamados periódicamente para examinar I.as transacciones recientes de una organización y para determinar S.I ha ocurrido actividad fraudulenta.

El registro de auditoria es un registro permanente de acontecim.ientos de importancia que ocurren en el sistema de computación. Se produce automáticamente cada vez que ocurren los eventos y es almacenado en un área protegida del sistema

VENTAJAS.

.Las auditorias periódicas prestan atención regulam1ente a problemas de

seguridad .Las auditorias al azar ayudan a detectar intrusos.

DESVENTAJAS:

.Puede haber ocasiones en que la auditoria pueda ser mal hecha, esto puede ser frecuentemente hecho por la mano humana.

.Controles de acceso

Los derechos de accesos más comunes son: acceso de lectura, acceso de escritura de acceso de ejecución. Estos derechos pueden implementarse usando una matriz de control de acceso

Criotografía

La criptografia es usada para la transformación de datos para hacerlos incomprensibles para todos, excepto para el usuario destinatario El problema de la privacidad tiene relación con la prevención de la no autorizaciOO para la extracción de información desde un canal de comunicación. Los problemas de autentificación estan relaciona(ios con la prevención contra intrusos que intentan modificar una transmisión o insertar falsos datos dentro de una transmisión. Los problemas de disputa están relacionados con la providencia de reserva de un mensaje con prueba legal de la identidad enviada.

la vigilancia se usan sistemas muy sofisticados, por lo tanto hay menos probabilidad que ocurra un ataque.

DESVENTAJAS :

.A veces pueden surgir problemas en la autentificación generando un rechazo al usuario legítimo.

Monitoreo de amenazas

Una manera de reducir los riesgos de seguridad es tener rutinas de control en el sistema operativo para permitir o no el acceso aun usuario. Estas rutinas interactúan con los programas de usuario y con los archivos del sistema. De esta manera, cuando un usuario desea realizar una operación con un archivo, las rutinas determinan si se niega o no el acceso y en caso de que el mismo fuera permitido devuelven los resultados del proceso.

VENTAJAS:

.Las rutinas de control permiten detectar los intentos de penetración al sistema y advertir en consecuencia.

DESVENTAJAS:

.A veces puede ser muy estricto que no permita al usuario hacer algunas operaciones necesanas.

Protección por contarseña

Existen tres clases principalmente de elementos que permiten establecer la identidad de un usuano:

.Algo sobre las personas. Esto incluye huellas digitales, reconocimiento de voz, fotografia y firmas.

.Algo poseído por la persona. Esto incluye distintivos, tarjetas de identificación y llaves.

.Algo conocido por el usuario. Esto incluye contraseñas, nombre de la suegra, combinación de cerraduras. El esquema de autentificación más común es la simple protección por contraseña. El usuario elige una palabra que se le viene ala memoria, y la tipea de inmediato para ganar admisión al sistema de computación.

VENTAJAS:

.Si usas una contraseña larga, esta tendrá menos posibilidades de que sea descifrada y por lo tanto podrás proteger tu información.

DE S VENT AJAS :

.La protección por contraseña es un esquema débil. En el sentido de que los usuarios tienden a elegir contraseñas fáciles de recordar .Entonces alguien que conoce al usuario podría intentar ingresar al sistema usando nombres de gente que la persona conoce.

Auditoría

La auditoria normalmente es realizada en sistemas manuales "después del hecho". Los auditores son llamados periódicamente para examinar las transacciones recientes de una organización y para determinar si ha ocurrido actividad fraudulenta.

El registro de auditoria es un registro permanente de acontecimientos de importancia que ocurren en el sistema de computación. Se produce automáticamente cada vez que ocurren los eventos y es almacenado en un área protegida del sistema.

VENTAJAS:

.Las auditorias periódicas prestan atención regularmente a problemas de

seguridad .Las auditorias al azar ayudan a detectar intrusos.

DESVENTAJAS:

.Puede haber ocasiones en que la auditoria pueda ser mal hecha, esto puede ser frecuentemente hecho por la mano humana.

Controles de acceso

Los derechos de accesos más comunes son: acceso de lectura, acceso de escritura y acceso de ejecución. Estos derechos pueden implementarse usando una matriz de control de acceso.

Crioto2rafia

La criptografia es usada para la transformación de datos para hacerlos incomprensibles para todos, excepto para el usuario destinatario. El problema de la privacidad tiene relación con la prevención de la no autorización para la extracción de información desde un canal de comunicación. Los problemas de autentificación están relacionados con la prevención contra intrusos que intentan modificar una transmisión o insertar falsos datos dentro de una transmisión. Los problemas de disputa están relacionados con la providencia de reserva de un mensaje con prueba legal de la identidad enviada.

..

En un sistema de privacidad criptográfico, el remitente desea transmitir cierto mensaje no cifrado a un receptor legítimo, la transmisión ocurre sobre un canal inseguro

asume ser monitoreado o grabado en cinta por un intruso.

El remitente pasa el texto a una unidad de encriptación que transforma el texto a un texto cifrado o criptograma; el mismo no es entendible por e( intruso. El mensaje es transmitido entonces, sobre un canal seguro. Al finalizar la recepción e( texto cifrado pasa a una unidad de descripción que regenera el texto.

VENT AJAS .

.El sistema de encriptación es muy eficiente para el cifrado de claves o intormaci()n, ya que es una torma muy segura de protegerla

DESVENT AJAS:

.Con un buen programa de desencriptación podrían descitrarse contraseñas e

información.

Firmas di2itales

Para que una firma digital sea aceptada como sustituta de una firma escrita debe

ser . .Fácil de autentificar (reconocer) por cualquiera. .Producible únicamente por

su autor..En los criptografia sistemas de clave pública el procedimiento es:

.El remitente usa la clave privada para crear un mensaje firmado. .El receptor

o Usa la clave pública del remitente para descifrar el mensaje o Guarda el

mensaje firmado para usarlo en caso de disputas

VENTAJAS

.Una firma digital es importante en casos de que el dueño de dicha firma no pueda hacerla escrita-

.DESVENT AJAS:

Necesita muchos requisitos para autentificarla ya veces puede haber fraudes.

Mecanismos y Políticas .

modelo de Multics

El documento describe un estudio de seguridad realizado a mediados de los m los 70, en el que se demuestra cómo saltarse los mecanismos de protección de MUL TICS, de forma casi trivial.

MUL TICS es un sistema operativo desarrollado a finales de los años 60, con un claro objetivo: ser seguro. Lamentablemente su diseño estaba muy vinculado a una determinada familia de CPUs (General Electric, luego Honeywey), era poco portable y consiguió poca difusión. Podría decirse que su mayor contribución a la historia de la informática ha sido, precisamente .u fracaso. Su complejidad y dependencia de un hardw~e específico motivó, por un puro movimiento de reacción, el nacimiento de "UNIX" (nombre puesto en evidente alusión a su clara divergencia de

"MUL TICs "). UNIX hereda, no obstante, un buen número de diseños de MUL TICS, , omo el que "todo" sea un fichero.

Durante décadas, la mitología informática atribuía a MUL TICS habilidades y una seguridad inaudita, avaladas por su utilización en las redes infonnáticas de las fuerzas armadas norteamericanas. Esta percepción

queda absolut?mente demolida con el documento que presentamos hoy, en el que se describe un estudio "superficial" (bajo coste) sobre la seguridad de MUL TICS.

El estudio describe un sinfin de ataques, tanto software (bugs y problemas de diseño en el sistema operativo) como hardware (bugs en la implementación de las CPUs, implementaciones incompletas y efectos

colaterales inesperados). La mayoría de los ataques fueron explotados de forma simple j exitosa. Algunas de las puertas traseras desplegadas permanecieron activas durante meses.El primer esquema que analizaremos es el implementado por Multic3, el cual pese a tener ya cerca de 40 años de existencia aún es tomado como referencia para diseño de nuevos esquemas.

2.1 ¿Qué es Multics? ¿Por qué iniciamos con él?

El diseño de Multics (Multiplexed Infonnation and Computing Service) fue descrito en 1965 y desarrollado desde entonces y hasta 1973. En su mcmento fue un sistema operativo muy revolucionario y ambicioso -Planteaba soportar brindar servicios de cómputo como se brindan los servicios telefónico o eléctrico: Los subscriptores tendrían una toma a través de la cual conectarfan su terminal al sistema central. Esto exigía un sistema que hoy serra catalogado como de alta disponibilidad a todo nivel, y con muy altos estándares de seguridad. Es uno de los primeros sistemas que expresamente buscaba dar soporte a múltiples ambientes de programación e interfaces al usuario, un amplio rango de aplicaciones, y tener la habilidad de evolucionar conforme cambie la tecnologra. Multics fue también uno de los primeros sistemas operativos escrito en un lenguaje de alto nivel pensando en permitir una gran portabilidad y facilidad en la depuración.

El basar el sistema fue, además, una muy acertada decisión. En más de treinta años prácticamente no se detectaron errores en Multics, uno de los mayores dolores de cabeza de los programadores de C, dado que la programacion maneja nativamente los límites máximos de las cadenas.

Las ambiciones de Multics fueron, sin embargo, demasiado elevadas para la época. El sistema operativo tardó mucho en estar listo. Era ridículamente grande y lento para las capacidades de memoria y,procesamiento aún de las computadoras más grandes de su época. Esto hizo que varias de las empresas que inicialmente lo impulsaron abandonaran su desarrollo. Una de estas fue Bell Labs -Tras abandonar el p,:oyecto Multics, pero partiendo de varias interesantes ideas que éste planteó por primera vez, sus hoy famosos empleados Kernighan, Thompson y Ritchie se avocaron al diseño de un Multics recortado, llamado -como broma- UNICS y posteriormente Unix, y un lenguaje de relativamente alto nivel, el actual C.

Pese a las demoras en su desarrollo, Multics sí fue un sistema exitoso. Hubo una buena cantidad de sistemas corriendo Multics, el último de los cuales fue jubilado en el 2000 en el ejército canadiense. El primer sistema en obtener la clasificación A 1 del Departamento de Defensa de los EUA --cosa que definitivamente no ocurre todos los días-- fue SCOMP, un desarrollo basado en Multics. Multics mismo, en 1985, recibió la certificación. Hay actualmente varios proyectos de construir

. emuladores de Multics. Emuladores, sí, no adecuaciones, pues Multics requiere características de hardware no presentes en las computadoras actuales.

Resulta ya obvio que la influencia de Multics es de grandísima importancia e innegable. Mencionaremos brevemente sus principales características de seguridad. Para quien busque información más a detalle respecto a Multics, recomiendo fuertemente el sitio multicians.org

Un sistema de anillos

La seguridad en Multics parte de un diseño conceptualmente conformado de ocho anillos concénú-icos de privilegio, implementados en hardware (que, por software, podían d(]r la ilusión de ser en realidad 64 anillos). Entre más cerca del centro (O) está un anillo, mayores privilegios tiene. Los procesos que requieren pr¡vilegios de sistema por regla general corren en el anillo 2 o inferiores, las bibliotecas compartidas en anillo 3, y los programas de usuario en anillos superiores.

Buena parte de esto está implementado desde hardware, lo cual hace que explotar la seguridad del sistema sea mucho más difícil que en sistemas como los actuales, en los que prácticamente todos los mecanismos de seguridad --a excepción de los más básicos para sistemas multitarea, como la separación de segmentos de memoria-- están implementados en el sistema operativo.

Principios del diseño para la seguridad.

Los virus aparecen en mayor proporción en los sistemas de escritorio. En los sistemas más grandes, pueden aparecer otros problemas y se necesitan otros métodos para enfrentarlos. Saltzer y Schroeder (1975) han identificado varios principios generales que se pueden utilizar como una guía para el diseño de sistemas seguros. Algunas de sus ideas basadas en MULTICS son:

.En primer lugar, el díseño del sistema debe ser público. Pensar que el intruso no conocerá la forma del funcionamiento del sistema es engañar a los diseñadores. .En segundo lugar, el estado predefinido debe ser el de no acceso. Los errores en donde se niega el acceso válido se reportan más rápido que los errores donde se permite el acceso no válido. .En tercer lugar, verifique la autorización actual. El sistema no debe verificar el permiso, determinar que el acceso está permitido y después abandonar esta información para su uso posterior. Muchos sistemas verifican el permiso al abrir un archivo y no después de abrirlo. Esto significa que un usuario que abra un archivo y lo tenga abierto por semanas seguirá teniendo acceso a él, incluso en el caso de que el propietario haya cambiado la protección del archivo. .En cuarto lugar, dé a cada proceso el mínimo privilegio posible. Si un editor solo tiene la autoridad para acceso al archivo por editar (lo cual se determina al

Ifamar al editor), los editores con cab~llo de Troya no podrán hacer mucho daño. Este principio implica un esquema de protección de grado fino. .En quinto lugar, el mecanismo de protección debe ser simple, uniforme e integrado hasta las capas más bajas del Sistema. El intento por dotar de seguridad ha un sistema inseguro ya existente es casi imposible. La seguridad¡ al igual que 'o Correcto de un sistema, no es una característica que se pueda añadir.

.En sexto lugar, el esquema elegido debe ser psicológicamente aceptable. Silos

uSuarios Sienten que la protección de sus archivos impJica dem~siado trabajo¡

simplemente no lo protegerán. Sin embargo, ellos se quejarán en voz alta si algo sale mal. '

entre 1965 y 1969, los Laboratorios Bell participaron con General Electric (Más

tarde Honeywell) y Project MAC (Del Massachusetts Institute of Technology) en el

desarrollo del sistema Multics. Este sistema diseña do para la macrocomputadora

GE-645, era demasiado grande y complejo. Los diseñadores de Multics tenían en

mente un programa de utilidad general que pudiera ser en esencia "todo para el

mundo".

Al avanzar los trabajos se hizo evidente que aunque Multics proporcionaría con

toda probabilidad la diversidad de servicios requerida, sería un sistema enorme,

costoso y torpe. Por estas y muchas otras razones, los Laboratorios Bell se

retiraron del proyecto en 1969. Algunos de los miembros de investigación de Bell

comenzaron a trabajar en un sistenla mucho menos ambicioso. El grupo, dirigido

por Ken Thompson, buscaba crear un ambiente de computación sencillo para

investigación y desarrollo de programas potentes. La primera versión de un

sistema UNIX se creó para un DEC PDP-7 y se escribió en lenguaje ensamblador.

Thompson llevó a la práctica un sistema de archivos, un mecanismo de control de

procesos, programas para el manejo general de archivos y un intérprete de

mandatos (Comandos). En 1970 Brian Kernighan dió el nombre "UNIX" haciendo

un juego de palabras con Multics; de hecho, en el sentido en que Multics era

"multi", los sistemas UNIX eran sin duda servicios de computación "uni", limitados.


Para analizar los diferentes mecanismos de protección, conviene definir el

concepto de dominio. Un dominio es un conjunto de parejas (objeto, derechos).

Cada pareja especifica un objeto y algún subconjunto de las operaciones que se

pueden efectuar con él. Un derecho significa autorización para ejecutar una de las

operaciones.

La Figura 1 representa dominios, los cuales muestran los objetos en cada dominio

y los derechos [Read, Write, eXecute] disponibles con cada objeto. Obsérvese que

Printer1 es dos dominios al mismo tiempo, es posible que el mismo objeto está en

múltiples dominios, con diferentes derechos en cada dominio.

Figura1

En cada momento, cada proceso se ejecuta en algún dominio de protección. En

otras palabras, existe algún conjunto de objetos que puede accesar y por cada

objeto tiene algún conjunto de derechos. Los procesos también pueden cambiarse

de un dominio a otro durante la ejecución. Las reglas para el cambio de dominios

dependen en gran medida del sistema.

En MUL TICS, los dominios de protección se pueden explicar como en forma de

anillos. La Figura 2 muestra cuatro anillos. El anillo de más adentro, el kernel del

sistema operativo, tiene la mayor parte del poder. Si se va hacia afuera desde el

kernel, los ~nillos se vuelven menos poderosos en sucesión. Por ejemplo,

El anillo 1 podría contener el cpdigo de funciones que son manejadas por

programas SETUID poseídos por ,~ raíz, comp mkdir.

El anillo 2 podría contener el programa de calificaciones utilizado para evaluar

programas de estudiantes y

El anillo 3 podría contener los programas de los estudiantes.

Cuando un procedimiento en un anillo llamaba aun procedimiento de otro anillo,

ocurría una trampa, debido al sistema la oportunidad de cambiar el dominio de

protección del proceso. Por lo t~h~o, por ejemplo en MUL TICS un proceso podía

operar en tantos como 64 dominios diferentes durante su vida útil. Los

procedimientos podían vivir en múltiples anillos consecutivos y la transmisión de

parámetros entre anillos se contro.lat?a con cuidado.

Una pregunta importante es ¿cómo lleva el control el sistema de cuál objeto

pertenece a cuál dominio? .En concepto, cuando menos, uno puede imaginar una

matriz grande, donde I~~ filas son los dominios y las columnas son los objetos.

Cada caja list~ los derechos, si hay alguno, que el dominio contiene para el objeto.

La matriz de la Figura 3 se muestra en la Figura 1. Dados esta matriz y el número

de dominio corriente, ~I sistema siempre puede indicar si se permite un intento por

accesar un objeto específico de manera particular a partir de un dominio

especificado.

El cambio de dominio mismo, como en MUL TICS, se puede incluir sin dificultad

en el moqelo de ma~riz comprenqienqo que un dominio es un objeto en sí, con la

operación

La Figura 4 muestra la matriz de la Figura 3 una vez más, solo que ahora con los

tr~s dominios como objetos. Los procesos del dominio 1 pueden correrse al

dominio 2, pero una vez ahí ya no pueden regresar. Esta situación modela la

ejecución d~ un programa S~TUID en. UNIX. En este ejemplo no se permite

ningún otro cambio de dominio.

ESTRUCTURAS DE PROTECCIÓN DINAMICAS.

Las matrices de acceso vistas hasta el momento, en las que no cambian los

derechos en cada dom.inio durante su ejecución, son un ejemplo de Estructuras

de Protección Estáticas. Con el fin de ofrecer flexibilidad y de implementar

eficientemente la protección, un Sistema Operativo debe soportar c~mbios ~n los

derechos de acceso. Para esto se requiere implemetitar alguna estructura de

protección dinámica.

En este caso continuaremos considerando las matrices de acceso, aunque en su

versión dinámica. Básicamente se requieren cuatro nuevos derechos de acceso:

Copia, Cambio, Propietario y Control.

DERECHO DE ACCESO COPIA.

Este derecho de acceso da la facultad a un proceso de copiar derechos existentes

en un dominio hacia otro dominio para el objeto en cuestión. O sea, este derecho

genera copias en columnas.

Por ejemplo, considérese siguiente matriz de acceso

En es'te .caso estará indicado el derecho copia añadiendo el signo (+) al nombre

de los derechos que pueden ser copiados.

En la tabla se indica que un proceso ejecutándose en el dominio 1 podrá copiar

hacia cualquier otro dominio, el derecho enviar sobre el objeto J. ..',..~ y que un proceso ejecutándose en el dominio "D2" podrá copiar el derecho "Leer"

hacia cualquier otro dominio sobre el objeto "Archivo2",

De esta manera, en algún mómento posterior, la situación de la tabla podría ser la

siguiente:

En la que se ha copiado el derecho !lEnviar!l del dominio !lD1!1 al dominio !lD4!1

sobre el objeto !lCOM1!1 y se ha copiado el derecho !lLeer!l del dominio !lD2!1 al

dominio !101!1 sobre el objeto !lArchivo 2!1.

Puede observarse que los derechos !lcopiados!l no contienen el signo (+), o sea,

se ha realizado una copia limitada. En general se podría hablar de 3 variantes del

derecho !lcopia!l: Copia Limitada, Copia Completa, Translación.

COPIA LIMITADA. La copia no incluye el derecho !lCopia!l, con lo que no se

podrán hacer copias sucesivas del derecho. Se puede indicar con el signo (+).

COPIA COMPLETA. La copia incluye el derecho !lCopia!l, por lo que se pueden

realizar copias sucesivas del derecho. Se puede indicar con el signo (.).

TRANSLACláN. El derecho en cuestión junto con el derecho copia se eliminan del

dominio original y se coloca en el nuevo dominio. Esta es una forma básica de

retirar derechos de un dominio para asignarlo a otro. Se puede indica! con et signo

().

DERECHO DE ACCESO CAMBIO.

Este derecho de acceso indica la posibill9ad de un proceso para cambiarse de un

dominio a otro. La operación cambio actúa sobre dominios, o sea, en este caso los

dominios son los objetos. Entonces, para considerar este derecho de acceso se

deberán incluir los dominios como objetos adicionales en la matriz de acceso.

Considérese la siguiente matriz de acceso:

esta tabla indica que un proceso ejecutándose en "01" puede cambiarse al

dominio "04" (a); un proceso ejecutándose en "02" puede cambiarse a "03"(b) y un

proceso ejecutándose en el dominio "04" puede cambiarse a "01 "(c). seguridad en conexiones a internet

aun que un antlvirus es una buena opcion, l\1icrosoft

contribuye en la seguridad en las conexiones via internet . -, c

junto con otras empresas y organizaciones, se ha creado en los ultimos años todo

un conjunto de protocolos seguros agrup ados bajo la deno:minacion isf (internet

security frame work).

dentro siguientes:

i. set (sr:cure electronic transaction): este protocolo fue creado para garantizar las

transacciones seguras entre clientes y vendedores cuando se utilizantarjetas de

credito. esta provisto de fuertes medillas de autentificacion y confillenciaudad .

2. ssl (secure sockets la ver): es un protocolo utilizado para conectarse a los

denom1l'i'ádos "servidores. seguras". implement a sistemas de autentificacion de

maqijinas así como mecanismos de encriptacion 1;: integridad de los datos.

3. pptp (point tq.-:;;:i>oint 11jnneling pratacal): mediante la .i:;)!--. ,"'. creacion de conexiones vir tuales, se usa para implement ar

la seguridad sobre lineas publicas no protegillas.

4. pfx (personal information exchange): diseñado para permitir el intercambio de

información de autentificacion (cla ves, certificados, etc.) entre una plataforma y

otra.

2. a tra ves de la red

la red es un :medio de comunicación f acilivffinte accesmle y dificilmente

controlable. por ella viajan datos de todo tipo entre las maquinas conectadas. para

preservarla seguridad en la red podemos imple:ment ar :mecanismos como los

siguientes :

-llev ar una buena politica de p asswords, es qecir, que no sean f aciles de adivinar

y que se cambien frecuentemente.

-usar hardw are o softw are de encript acion de comunicaciones p ara que no

puedan ser capturadas leyendo direct amente la red con un analizador.

-usar softw are de monitorizacion de la red cap as de detect ar la presencia de

eleivffintos no controlados conect ados a ella.

3. accediendo a copias externas de los datos

".,~ volcados, copias de seguridad (backup) y salillas de impresoras pueden proveer de información a personas no .

autorizadas. p ara controlarlo, algunas acciones a tomar

serian:

-guardar en sitio seguro el resultado de backups y volcados, .

-destruir las copias impresas cuando se vuelven inservmles, -controlar las

unidades de backup .si la unidad donde se

realiza este es utilizada por los usuarios, estos pueden acceder a los backups en

los periodos anteriores y

posteriores ala realizacion del mismo. ...

seguridad en windows

la seguridad en ~ows se traduce en un connjnto de tecnicas orientadas a alcanzar

un nivel de proteccion razonable en tres vertlentes: red, sistema operativo y da.tos,

est a proteccion intent a prevenir dos cosas: accesos no deseados y accidentes,

los datos confidenciales cuya visualizacion esta permitida solo a un numero

determinado de usuarios, pueden ser protegmos por el administrador o por los

ustjarios con acceso . , utilizando las herramient as del propio windows o de las

aplicaciones (contraseñas, permisos, etc),

no hay que olvidar que los datos estan en el sistema operativo y que pueden ser

accedmos a espaldas.del mismo con metodos tan sencillos como los siguientes:

i. arrancando la maquina desde una unmad distinta de la del

sistema "..':::'

el propiet ario de esa unidad es el titular del sistema operativo contenido en ella y

de todas las unidades locales accesmles desde la misma. para combatir .este

posible agujero en la seguridad, se puerf~ tomar siguientes :medidas:

-mantener los servidores en un lugar fisicamente seguro, . no accesmle a

personas sin autorizacion.

-elllviinar, bien a nivel de bios o de hardw are, la posmilidad .de arranque desde

disquete o cd-rom,

-encriptar ~os datos en disco: existen drivers que hacen que una sola instalación

de windows posea la cla ve para poder " descifrar los datos en disco, ..

.

SEGURIDAD Y PROTECCIONjbanos.empresarial-uagro.com/.../2018/07/UNIDAD-VI.pdf · 2018. 7. 6. ·...

Documents

Transcript of SEGURIDAD Y PROTECCIONjbanos.empresarial-uagro.com/.../2018/07/UNIDAD-VI.pdf · 2018. 7. 6. ·...