Tema 3. Arquitectura y Diseño de Seguridad Tema 3. Arquitectura y Diseño de Seguridad Seguridad Informática Francisco Medina López — [email protected] http://aulavirtual.capacitacionentics.com Facultad de Contadurı́a y Administración Universidad Nacional Autónoma de México 2015-1 Tema 3. Arquitectura y Diseño de Seguridad Agenda 1 Arquitectura de Computadoras 2 Mecanismos de Protección 3 Modos de Seguridad 4 Modelos de Seguridad 5 Guı́as de Evaluación 6 Certificación y Acreditación 7 Amenazas y Ataques Tema 3. Arquitectura y Diseño de Seguridad Arquitectura de Computadoras 1 Arquitectura de Computadoras Introducción Hardware Firmware Software 2 Mecanismos de Protección 3 Modos de Seguridad 4 Modelos de Seguridad 5 Guı́as de Evaluación 6 Certificación y Acreditación Tema 3. Arquitectura y Diseño de Seguridad Arquitectura de Computadoras Introducción 1 Arquitectura de Computadoras Introducción Hardware Firmware Software 2 Mecanismos de Protección 3 Modos de Seguridad 4 Modelos de Seguridad 5 Guı́as de Evaluación 6 Certificación y Acreditación Tema 3. Arquitectura y Diseño de Seguridad Arquitectura de Computadoras Introducción Arquitectura y Sistema de Cómputo Arquitectura de Computadoras Disciplina de la Ingenierı́a, relacionada con el diseño y la construcción de sistemas de cómputo a nivel lógico. Arquitectura de Cómputo Comprende la estructura de un sistema de cómputo. Sistema de Cómputo Conjunto formado por hardware, firmware, software, medios de almacenamiento, datos o información y personas involucradas. Tema 3. Arquitectura y Diseño de Seguridad Arquitectura de Computadoras Introducción Arquitectura de Computadoras La Arquitectura de Computadoras comprende todas y cada una de las partes necesarias para que un sistema de computo funcione, esto incluye: Sistema Operativo Chips de Memoria Circuitos Discos Duros Componentes de Seguridad Conexiones Bus Componentes de Red Etc. Tema 3. Arquitectura y Diseño de Seguridad Arquitectura de Computadoras Introducción Computadora vs Servidor Computadora Máquina digital programable. Servidor En una red cliente/servidor, son los equipos que proveen información (datos) y servicios (impresión de documentos, transferencia de archivos, correo electrónico,...) a las estaciones de trabajo (clientes). Tema 3. Arquitectura y Diseño de Seguridad Arquitectura de Computadoras Hardware 1 Arquitectura de Computadoras Introducción Hardware Firmware Software 2 Mecanismos de Protección 3 Modos de Seguridad 4 Modelos de Seguridad 5 Guı́as de Evaluación 6 Certificación y Acreditación Tema 3. Arquitectura y Diseño de Seguridad Arquitectura de Computadoras Hardware Hardware Definición Conjunto de componentes tangibles (o fı́sicos) de una computadora. 1 Componentes principales de la plataforma de hardware en la Arquitectura de Computadoras: CPU (Unidad Central de Procesamiento) Memoria Bus de conexiones Dispositivos de Entrada/ Salida (I/O) Dispositivos de Almacenamiento 1 http://www.carlospes.com/minidiccionario/hardware.php Tema 3. Arquitectura y Diseño de Seguridad Arquitectura de Computadoras Hardware CPU Unidad Central de Proceso (CPU) También conocido como procesador, es el componente en una computadora digital que interpreta las instrucciones y procesa los datos contenidos en los programas de la computadora. 2 Contiene: 1 Almacenamiento primario (Registros) 2 Unidad de Control (UC) 3 Unidad de Aritmético Lógica (ALU) 4 Unidad de Administración de Memoria (MMU) 2 http://es.wikipedia.org/wiki/Unidad_central_de_procesamiento Tema 3. Arquitectura y Diseño de Seguridad Arquitectura de Computadoras Hardware Componentes principales del CPU 1 Almacenamiento primario Registros3 que almacenan instrucciones y datos que van a ser procesados 2 Unidad de Control Coordina la actividad durante la ejecución de instrucciones de un programa No procesa datos, solo controla los procesos que se están ejecutando 3 Unidad de Aritmético Lógica Realiza operaciones matemáticas y lógicas 4 MMU Manipula direcciones y catálogos de datos almacenados en memoria además de convertir las direcciones lógicas en fı́sicas 3 Memoria intermedia Tema 3. Arquitectura y Diseño de Seguridad Arquitectura de Computadoras Hardware Caracterı́sticas principales de un Procesador Reducido SET de instrucciones MIPS (Millones de Instrucciones por Segundo) Tema 3. Arquitectura y Diseño de Seguridad Arquitectura de Computadoras Hardware Estructura interna de un Procesador UC (Unidad de Control): La Unidad de Control es la encargada de gestionar y controlar el correcto funcionamiento de la Unidad de Proceso, indicando cuando una instrucción debe ser enviada al procesador. La UC no procesa datos, tan solo actúa como agente de tránsito. UP (Unidad de Proceso): Formada por componentes tales como: la ALU, Registros, y buses. ALU (Unidad Aritmético-Lógica): Encargada de llevar a cabo funciones matemáticas y operaciones lógicas. Registros: Almacenan datos durante cierto tiempo, dentro la CPU. Bus: Conjunto de circuitos y conectores ”Podrı́amos decir que la ALU es el cerebro del procesador, y el procesador el cerebro de la computadora.” Tema 3. Arquitectura y Diseño de Seguridad Arquitectura de Computadoras Hardware Operación Básica de un Procesador La operación de un procesador consiste básicamente en dos fases: obtener (fetch) y ejecutar (execute). Durante la fase de obtención, la CPU localiza y recupera las instrucciones de memoria. Durante la fase de ejecución, la CPU decodifica y ejecuta las instrucciones. Estas dos fases componen lo que se llama ciclo de reloj (clock singals). A los programas ejecutados por el procesador se llaman procesos. Tema 3. Arquitectura y Diseño de Seguridad Arquitectura de Computadoras Hardware Estados del procesador La CPU, se encuentra siempre en alguno de los siguientes estados principales: User State En este estado, solo pueden ser ejecutadas instrucciones no- privilegiadas. Supervisor State / Privileged Mode En este estado, pueden ser ejecutadas tanto instrucciones no-privilegiadas como privilegiadas. Tema 3. Arquitectura y Diseño de Seguridad Arquitectura de Computadoras Hardware Procesos Un proceso es un programa en ejecución, el cual se encuentra compuesto de código ejecutable, datos e información relativa su ejecución. Un proceso trabaja en su propio espacio de direcciones y puede comunicarse con otros procesos, solo a través de pasos autorizados por el sistema operativo. Los “estados de un proceso” no es lo mismo que los “estados de la CPU”. Mientras que los “estados de la CPU” define el modo operativo de la CPU, los “estados de un proceso” se refiere al modo en que los procesos se encuentran corriendo dentro de esta. El estado de los procesos o “Process State”, es particular de cada sistema operativo. Ready, Waiting, Running y Stopped son solo algunos de los estados mas comúnmente encontrados. Tema 3. Arquitectura y Diseño de Seguridad Arquitectura de Computadoras Hardware Procesos vs Hilos Un proceso es un programa en ejecución que posee su propio espacio de trabajo, y solo puede comunicarse con otro proceso de modo controlado. Un Thread en cambio, representa una pieza de código que esta siendo ejecutada dentro de un proceso. Un proceso puede incluir uno o mas Threads. Tema 3. Arquitectura y Diseño de Seguridad Arquitectura de Computadoras Hardware Estados de un proceso Detenido El proceso no se encuentra en ejecución Pudo haber sido detenido por el sistema operativo o un usuario En espera El proceso se encuentra esperando por una interrupción (generalmente de IO) que le permita ser de nuevo procesado por la CPU Estas interrupciones permiten compartir el tiempo de procesamiento de la CPU En ejecución Las instrucciones del proceso están siendo ejecutadas por la CPU Se le conoce también como tiempo de ejecución Listo El proceso listo para ser utilizado y a la espera de una instrucción Tema 3. Arquitectura y Diseño de Seguridad Arquitectura de Computadoras Hardware Estados de un proceso Tema 3. Arquitectura y Diseño de Seguridad Arquitectura de Computadoras Hardware Diseños de CPU Actualmente existen dos tipos de diseños ampliamente extendidos: Complex-Instruction-Set-Computing (CISC): Conjunto de instrucciones que se caracteriza por ser muy amplio y permitir operaciones complejas entre operandos situados en la memoria o en los registros internos Reduced-Instruction-Set-Computing (RISC): Filosofı́a de diseño de CPU que está a favor de conjuntos de instrucciones pequeñas y simples que toman menor tiempo para ejecutarse. Cuando se ejecuta un programa difı́cil, o extenso, los CISC son más rápidos y eficaces que los RISC. En cambio cuando se tiene en ejecución un conjunto de instrucciones sencillas, cortas y simples, los RISC son más rápidos. Tema 3. Arquitectura y Diseño de Seguridad Arquitectura de Computadoras Hardware Caracterı́sticas de la CPU Scalar Processor: Procesador que ejecuta una instrucción por vez. Superscalar Processor: Procesador que permite la ejecución de varias instrucciones en la misma etapa del pipeline, como ası́ también en diferentes etapas de pipeline. (IBM RS/6000) Multitasking: Ejecución de dos o mas tareas al mismo tiempo utilizando un solo CPU. Coordinado por el SO (Windows 2000, Linux, OS/3 Tema 3. Arquitectura y Diseño de Seguridad Arquitectura de Computadoras Hardware Caracterı́sticas de la CPU (II) Multiprogramming: Ejecución simultánea de dos o más programas utilizando un solo CPU. A diferencia de lo que ocurre con Multitasking, cuya implementación suele encontrarse en sistemas operativos de PC tales como Linux y Windows, Multiprogramming suele encontrarse generalmente en mainframes o sistemas legacy.4 Multitasking es normalmente coordinado por el sistema operativo, mientras que Multiprogramming requiere que el software se encuentre especialmente escrito para coordinar sus propias acciones a través del sistema operativo. 4 Un sistema heredado (o sistema legacy) es un sistema informático (equipos informáticos y/o aplicaciones) que ha quedado anticuado pero continúa siendo utilizado por el usuario (tı́picamente una organización o empresa) y no se quiere o no se puede reemplazar o actualizar de forma sencilla. Tema 3. Arquitectura y Diseño de Seguridad Arquitectura de Computadoras Hardware Caracterı́sticas de la CPU (III) Multiprocessing: Ejecución simultánea de dos o más programas en múltiples CPUs. SMP (Symmetric Multiprocessing) Una computadora, con mas de un procesador, controlado por un solo sistema operativo (Bus de Datos y Memoria Compartidos). MPP (Massively Parallel Processing) Cientos o miles de procesadores, cada uno de los cuales utiliza su propio juego de recursos (sistema operativo, bus de datos y memoria). Tema 3. Arquitectura y Diseño de Seguridad Arquitectura de Computadoras Hardware Caracterı́sticas de la CPU (IV) Multithreading: Ejecución de múltiples tareas al mismo tiempo utilizando un solo CPU. A diferencia de lo que ocurre con Multitasking donde las diferentes tareas ocupan diferentes “procesos”, Multithreading permite ejecutar varias tareas en un solo “proceso”. Quizás un buen ejemplo de Multithreading, sea cuando abrimos varios documentos de Word, lo cual no genera múltiples instancias de Word, precisamente porque todas ellas corren en un solo proceso utilizando diferentes hilos. Tema 3. Arquitectura y Diseño de Seguridad Arquitectura de Computadoras Hardware Memorias Cache Flash Memory RAM (Random Access Memory) Dynamic Random Access Memory (DRAM) Extended Data Output RAM (EDO RAM) Synchronous DRAM (SDRAM) Double Data Rate SDRAM (DDR SDRAM) Burst Extended Data Output DRAM (BEDO DRAM) ROM (Read Only Memory) Programmable Read Only Memory (PROM) Erasable Programmable Read-Only Memory (EPROM) Electrically Erasable Programmable Read-Only Memory (EEPROM) Tema 3. Arquitectura y Diseño de Seguridad Arquitectura de Computadoras Hardware Memorias (II) Memoria Primaria (Real Memory – Primary Storage) Directamente accesible por la CPU y frecuentemente utilizada al momento de almacenar datos e instrucciones asociados con el programa que se encuentra en ejecución. Generalmente RAM. Memoria Secundaria (Secondary Storage) Almacenamiento no volátil, mas lento que la memoria primaria. Ejemplo: Discos Duros, CDs, DVDs, Floppys. Memoria Virtual (Virtual Memory – Virtual Storage) Combinación de memoria primaria y secundaria. Define un único espacio de direccionamiento. Habilidad para extender el tamaño aparente de la memoria RAM usando parte del disco rı́gido. (Swapping / Paging) Tema 3. Arquitectura y Diseño de Seguridad Arquitectura de Computadoras Hardware Jerarquı́a de acceso a memoria Tema 3. Arquitectura y Diseño de Seguridad Arquitectura de Computadoras Hardware Direccionamiento de Memoria Cuando se utilizan recursos de memoria, el procesador debe tener alguna forma de referirse a los diferentes lugares existentes dentro de ella. La solución a este problema, se conoce como “Direccionamiento” por su termino en ingles “Addressing”. Tipos: Por Registro (Register Addressing) Directo (Direct Addressing) Absoluto (Absolute Addressing) Indexado (Indexed Addressing) Implı́cito (Implied Addressing) Indirecto (Indirect Addressing) Tema 3. Arquitectura y Diseño de Seguridad Arquitectura de Computadoras Hardware Protección de Memoria Previene el acceso de un programa al espacio de memoria reservado para otro programa Se implanta a nivel de sistema operativo o hardware Tema 3. Arquitectura y Diseño de Seguridad Arquitectura de Computadoras Hardware Estructura de E/S Input/Output (I/O) interface adapters: Permiten la comunicación entre el procesador y los dispositivos externos Memory-Mapped I/O: Se otorga una dirección de memoria “central” al dispositivo Isolated I/O: Una señal especial en el bus de comunicación indica la ejecución de una operación de I/O. No utiliza memoria “central” Direct Memory Access (DMA): Data es transferida en forma directa desde y hacia la memoria, no requiere del CPU Interrupt Processing: Una señal externa interrumpe el flujo normal del programa para requerir servicio Tema 3. Arquitectura y Diseño de Seguridad Arquitectura de Computadoras Hardware Bus Bus: Circuitos impresos (o bien cables) que transmiten los datos del procesador. de transmisión de datos: lı́neas fı́sicas por dónde circulan los datos que se han leı́do o que se van a escribir (entrada/salida). de direcciones: lı́neas fı́sicas por dónde circulan las direcciones de memoria desde dónde se leerán (entrada), o se escribirán (salida), los datos. de control: lı́neas fı́sicas por dónde circulan las órdenes de control (entrada/salida). Tema 3. Arquitectura y Diseño de Seguridad Arquitectura de Computadoras Firmware 1 Arquitectura de Computadoras Introducción Hardware Firmware Software 2 Mecanismos de Protección 3 Modos de Seguridad 4 Modelos de Seguridad 5 Guı́as de Evaluación 6 Certificación y Acreditación Tema 3. Arquitectura y Diseño de Seguridad Arquitectura de Computadoras Firmware Firmware Definción Bloque de instrucciones de programa para propósitos especı́ficos, grabado en una memoria de tipo no volátil (ROM, EEPROM, flash,...), que establece la lógica de más bajo nivel que controla los circuitos electrónicos de un dispositivo de cualquier tipo. Al estar integrado en la electrónica del dispositivo es en parte hardware, pero también es software, ya que proporciona lógica y se dispone en algún tipo de lenguaje de programación. 5 5 http://www.carlospes.com/minidiccionario/software.php Tema 3. Arquitectura y Diseño de Seguridad Arquitectura de Computadoras Software 1 Arquitectura de Computadoras Introducción Hardware Firmware Software 2 Mecanismos de Protección 3 Modos de Seguridad 4 Modelos de Seguridad 5 Guı́as de Evaluación 6 Certificación y Acreditación Tema 3. Arquitectura y Diseño de Seguridad Arquitectura de Computadoras Software Definición Software Conjunto de programas y datos con los que trabaja una computadora el cual es inmaterial (o lógico).6 6 http://www.carlospes.com/minidiccionario/software.php Tema 3. Arquitectura y Diseño de Seguridad Arquitectura de Computadoras Software Clasificación del Software 1 Programas de sistema (software de sistema):controlan la operación de la computadora. Compiladores Sistema Operativo 2 Programas de aplicación (software de aplicación): resuelven problemas para los usuarios. RDBMS Sistemas Juegos Tema 3. Arquitectura y Diseño de Seguridad Arquitectura de Computadoras Software Sistema Operativo Sirve de intermediario (interfaz) entre los programas y la computadora. Se puede definir de dos formas ligadas a sus objetivos. Tema 3. Arquitectura y Diseño de Seguridad Arquitectura de Computadoras Software Sistema Operativo (II) Software principal de toda plataforma de computo. Este es cargado en la computadora por medio de un programa denominado Boot, nombre con el que solemos referirnos al proceso responsable de la carga del sistema operativo. Grandes computadoras o mainframes, utilizan una secuencia boot conocida como IPL (Initial Program Load). Durante toda secuencia de booteo, un pequeño programa es cargado en memoria, el cual una vez inicializado realiza la carga total del sistema operativo. Una vez en ejecución, el sistema operativo es el responsable de controlar varios subsistemas tales como las utilidades de software, aplicaciones, sistemas de archivos, control de acceso, etc. Tema 3. Arquitectura y Diseño de Seguridad Arquitectura de Computadoras Software Sistema Operativo (III) Todo sistema operativo persigue dos objetivos principales: Controlar el uso de los sistemas y recursos. Proveer de una interfaz entre usuario y computador (máquina extendida) Como administrador de recursos Es el encargado de proporcionar una asignación ordenada y controlada de los recursos (CPU, memoria y disco) para los varios programas que compiten por ellos. Como máquina extendida Es el encargado de presentar al usuario el equivalente de un máquina virtual o extendida que sea más fácil de programar que el hardware subyacente. Tema 3. Arquitectura y Diseño de Seguridad Arquitectura de Computadoras Software Sistemas Abiertos y Cerrados Los sistemas pueden ser desarrollados de forma tal de que resulte sencilla su integración con otros sistemas (Open), o pueden ser desarrollados con una naturaleza mas propietaria (Closed) construidos para funcionar solo con un sub-grupo de otros sistemas o productos Tema 3. Arquitectura y Diseño de Seguridad Arquitectura de Computadoras Software Sistemas Abiertos y Cerrados (II) Sistema Abierto Aquel sistema independiente del fabricante que cumple con ciertos estándares públicos y generalmente aceptados. Promueven la interoperabilidad y compatibilidad entre sistemas y componentes fabricados por distintos fabricantes. Pueden ser evaluados de manera independiente. Sistema Cerrado Aquel que usa hardware/software propietario que puede o no ser compatible con otros sistemas o componentes. El código fuente de los programas generalmente no esta a disposición del público. Tema 3. Arquitectura y Diseño de Seguridad Arquitectura de Computadoras Software Hardware, Firmware y Software Tema 3. Arquitectura y Diseño de Seguridad Mecanismos de Protección 1 Arquitectura de Computadoras 2 Mecanismos de Protección Trusted Computing Base (TCB) Monitor de Referencia Kernel de Seguridad Protection Rings Layering Data Hiding 3 Modos de Seguridad 4 Modelos de Seguridad 5 Guı́as de Evaluación Tema 3. Arquitectura y Diseño de Seguridad Mecanismos de Protección Trusted Computing Base (TCB) 1 Arquitectura de Computadoras 2 Mecanismos de Protección Trusted Computing Base (TCB) Monitor de Referencia Kernel de Seguridad Protection Rings Layering Data Hiding 3 Modos de Seguridad 4 Modelos de Seguridad 5 Guı́as de Evaluación Tema 3. Arquitectura y Diseño de Seguridad Mecanismos de Protección Trusted Computing Base (TCB) Definiciones Trusted Computing Base (TCB) Base segura o fiable de cómputo (TCB)7 es la combinación de todos mecanismos de protección en un sistema de cómputo, incluyendo hardware, firmware y software, responsables de aplicar una polı́tica de seguridad 8 . 7 Termino acuñado en el libro naranja formalmente conocido como (Trusted Computer System Evaluation Criteria (TCSEC)) 8 http://www.rediris.es/cert/doc/unixsec/node36.html Tema 3. Arquitectura y Diseño de Seguridad Mecanismos de Protección Monitor de Referencia 1 Arquitectura de Computadoras 2 Mecanismos de Protección Trusted Computing Base (TCB) Monitor de Referencia Kernel de Seguridad Protection Rings Layering Data Hiding 3 Modos de Seguridad 4 Modelos de Seguridad 5 Guı́as de Evaluación Tema 3. Arquitectura y Diseño de Seguridad Mecanismos de Protección Monitor de Referencia Definiciones Monitor de Referencia Es un modelo abstracto que define las reglas de acceso de un sujeto a un objeto. Controla el acceso de sujetos (Subject, Sujeto, Asunto, Personas) a recursos (Object, Objeto, Información). Concepto abstracto, implementado en Security Kernel. Tema 3. Arquitectura y Diseño de Seguridad Mecanismos de Protección Kernel de Seguridad 1 Arquitectura de Computadoras 2 Mecanismos de Protección Trusted Computing Base (TCB) Monitor de Referencia Kernel de Seguridad Protection Rings Layering Data Hiding 3 Modos de Seguridad 4 Modelos de Seguridad 5 Guı́as de Evaluación Tema 3. Arquitectura y Diseño de Seguridad Mecanismos de Protección Kernel de Seguridad Definiciones Kernel de Seguridad Parte del TCB que implementa y asegura el concepto del Reference Monitor. Se compone de hardware, firmware y software. Analiza todos los intentos de acceso de los sujetos a los objetos. Es responsable por mediar entre los accesos de sujetos a objetos; estar protegido de modificaciones; ser verificable como correcto. Pequerimientos para el Kernel Seguro Aislamiento del proceso. Intermediario. Imposible de esquivar. De funcionamiento verificable. Pequeño para ser verificado en su totalidad en forma confiable. Kernel de Windows Vista Tema 3. Arquitectura y Diseño de Seguridad Mecanismos de Protección Kernel de Seguridad Kernel Seguro Tema 3. Arquitectura y Diseño de Seguridad Mecanismos de Protección Protection Rings 1 Arquitectura de Computadoras 2 Mecanismos de Protección Trusted Computing Base (TCB) Monitor de Referencia Kernel de Seguridad Protection Rings Layering Data Hiding 3 Modos de Seguridad 4 Modelos de Seguridad 5 Guı́as de Evaluación Tema 3. Arquitectura y Diseño de Seguridad Mecanismos de Protección Protection Rings Definiciones Protection Domain Conjunto de objetos que un sujeto es capaz de acceder. Los dominios deben ser identificados, separados y asegurados. Security Perimeter Lı́nea que separa el TCB del resto del sistema (Todos los elementos que se encuentra más allá del control de TCB se los denomina externos al perı́metro de seguridad). Resource Isolation Principio que dicta que sujetos, objetos y controles; deben encontrarse correctamente aislados unos de otros. Requerimiento básico de toda arquitectura y modelo de seguridad. Tema 3. Arquitectura y Diseño de Seguridad Mecanismos de Protección Protection Rings Protection Rings Se organizan con el dominio mas privilegiado localizado en el anillo del centro y el de menor privilegio en el anillo mas alejado del mismo. En el anillo 0 usualmente se encuentra el “Kernel” del sistema operativo. Un sujeto en el anillo 3, no puede acceder directamente un objeto situado en el anillo 1, pero un sujeto en el anillo 1 si puede acceder directamente un objeto situado en el anillo 3. Las entidades, solo pueden acceder objetos dentro de su propio anillo o a uno superior. Tema 3. Arquitectura y Diseño de Seguridad Mecanismos de Protección Protection Rings Protection Rings (II) Anillo 0: Kernel/Memoria (Componentes Residentes) Anillo 1: Otros componentes del sistema operativo Anillo 2: Controladores, Protocoles, etc Anillo 3: Programas y Aplicaciones de Nivel Usuario Anillo 0-2: Modo supervisor o protegido Anillo 3 Se ejecuta en modo usuario Tema 3. Arquitectura y Diseño de Seguridad Mecanismos de Protección Layering 1 Arquitectura de Computadoras 2 Mecanismos de Protección Trusted Computing Base (TCB) Monitor de Referencia Kernel de Seguridad Protection Rings Layering Data Hiding 3 Modos de Seguridad 4 Modelos de Seguridad 5 Guı́as de Evaluación Tema 3. Arquitectura y Diseño de Seguridad Mecanismos de Protección Layering Definición Tema 3. Arquitectura y Diseño de Seguridad Mecanismos de Protección Data Hiding 1 Arquitectura de Computadoras 2 Mecanismos de Protección Trusted Computing Base (TCB) Monitor de Referencia Kernel de Seguridad Protection Rings Layering Data Hiding 3 Modos de Seguridad 4 Modelos de Seguridad 5 Guı́as de Evaluación Tema 3. Arquitectura y Diseño de Seguridad Mecanismos de Protección Data Hiding Definición Data Hiding Importante caracterı́stica de la seguridad multinivel. Este principio asegura que los datos existentes en un nivel de seguridad, no son visibles a procesos que se ejecutan en un nivel diferente. El concepto clave detrás de Data Hiding, es el de asegurar que quienes no tengan Need-to-Know respecto del detalle involucrado en el acceso y procesamiento de datos en un determinado nivel, no tenga forma de deducir, observar u aprender el mismo. Tema 3. Arquitectura y Diseño de Seguridad Modos de Seguridad 1 Arquitectura de Computadoras 2 Mecanismos de Protección 3 Modos de Seguridad Antecedentes Dedicated Security Mode System High Security Mode Multi-Level Security Mode (MLS) Compartmentalized Security Mode (Partitioned) 4 Modelos de Seguridad 5 Guı́as de Evaluación 6 Certificación y Acreditación Tema 3. Arquitectura y Diseño de Seguridad Modos de Seguridad Antecedentes 1 Arquitectura de Computadoras 2 Mecanismos de Protección 3 Modos de Seguridad Antecedentes Dedicated Security Mode System High Security Mode Multi-Level Security Mode (MLS) Compartmentalized Security Mode (Partitioned) 4 Modelos de Seguridad 5 Guı́as de Evaluación 6 Certificación y Acreditación Tema 3. Arquitectura y Diseño de Seguridad Modos de Seguridad Antecedentes Historia Históricamente, los requerimientos de seguridad han sido satisfechos por medio del uso contramedidas relacionadas con aspectos fı́sicos, de las personas, y de la información en si misma. Con los avances en tecnologı́a, es posible implementar contramedidas, ya no solo en el entorno, sino también en el mismo sistema. El gobierno de los EEUU ha designado cuatro modos de seguridad a partir de los cuales puede ser posible procesar información clasificada. El modo de operación, describe las condiciones de seguridad bajo las cuales el sistema realmente debe funcionar. Tema 3. Arquitectura y Diseño de Seguridad Modos de Seguridad Antecedentes Clasificación de la Información Un sistema puede operar en diferentes modos, dependiendo de la sensibilidad de los datos que en el mismo han de ser procesados, el nivel de separación de los usuarios (Clearance Level/Clasificación de la Información) y lo que estos usuarios se encuentran en condiciones de hacer. El nivel o modo de seguridad de computo requerido en un sistema, depende de la evaluación del riesgo y la naturaleza del entorno. Tema 3. Arquitectura y Diseño de Seguridad Modos de Seguridad Antecedentes Need to Know Definición Need to Know Access (Otorgar acceso solo a lo necesario) es un esquema de autorización de acceso, en el cual los derechos de acceso a un objeto por parte de un sujeto, son otorgados tomando en consideración, no solo el nivel de privilegio que el mismo posee, sino también la relevancia del dato involucrado en la tarea que el sujeto debe realizar. Need to Know indica que el sujeto requiere acceso al objeto a fin de poder realizar su trabajo. Aun teniendo el nivel de privilegio adecuado, quienes no tengan Need to know, no deben ser capaces de acceder el objeto en cuestión. Tema 3. Arquitectura y Diseño de Seguridad Modos de Seguridad Dedicated Security Mode 1 Arquitectura de Computadoras 2 Mecanismos de Protección 3 Modos de Seguridad Antecedentes Dedicated Security Mode System High Security Mode Multi-Level Security Mode (MLS) Compartmentalized Security Mode (Partitioned) 4 Modelos de Seguridad 5 Guı́as de Evaluación 6 Certificación y Acreditación Tema 3. Arquitectura y Diseño de Seguridad Modos de Seguridad Dedicated Security Mode Definición Modo de Seguridad Dedicado Todos los usuarios están autorizados y tienen “need-to- know” de la información que es procesada por el sistema. Muchos sistemas militares han sido diseñados para manejar un nivel de seguridad en modo dedicado. En este modelo, cada uno de los usuarios que acceden al sistema debe poseer un alto nivel de autorización(clearance). Si un sistema maneja información clasificada como TOP SECRET, solo usuarios con este nivel de autorización podrán acceder el mismo. Tema 3. Arquitectura y Diseño de Seguridad Modos de Seguridad System High Security Mode 1 Arquitectura de Computadoras 2 Mecanismos de Protección 3 Modos de Seguridad Antecedentes Dedicated Security Mode System High Security Mode Multi-Level Security Mode (MLS) Compartmentalized Security Mode (Partitioned) 4 Modelos de Seguridad 5 Guı́as de Evaluación 6 Certificación y Acreditación Tema 3. Arquitectura y Diseño de Seguridad Modos de Seguridad System High Security Mode Definición System High Security Mode Todos los usuarios del sistema tienen permitido y aprobado la posibilidad de ver la información dentro del sistema, pero no necesariamente necesitan conocer la misma (tı́picamente militar). Todos los usuarios tienen “need-to-know” sobre ALGUNOS de los datos. Al igual que en el modelo anterior, en este cada uno de los usuarios que acceden al sistema debe poseer un alto nivel de autorización, sin embargo un usuario puede tener acceso restringido a información para la cual no tiene “need-toknow”. Tema 3. Arquitectura y Diseño de Seguridad Modos de Seguridad Multi-Level Security Mode (MLS) 1 Arquitectura de Computadoras 2 Mecanismos de Protección 3 Modos de Seguridad Antecedentes Dedicated Security Mode System High Security Mode Multi-Level Security Mode (MLS) Compartmentalized Security Mode (Partitioned) 4 Modelos de Seguridad 5 Guı́as de Evaluación 6 Certificación y Acreditación Tema 3. Arquitectura y Diseño de Seguridad Modos de Seguridad Multi-Level Security Mode (MLS) Definición Multi-Level Security Mode (MLS) Este modo de operación, permite que dos o mas niveles de clasificación, sean utilizados en forma simultanea. No todo el personal que tiene acceso al sistema tiene la aprobación ni la necesidad de conocer para toda la información dentro del sistema. Tema 3. Arquitectura y Diseño de Seguridad Modos de Seguridad Compartmentalized Security Mode (Partitioned) 1 Arquitectura de Computadoras 2 Mecanismos de Protección 3 Modos de Seguridad Antecedentes Dedicated Security Mode System High Security Mode Multi-Level Security Mode (MLS) Compartmentalized Security Mode (Partitioned) 4 Modelos de Seguridad 5 Guı́as de Evaluación 6 Certificación y Acreditación Tema 3. Arquitectura y Diseño de Seguridad Modos de Seguridad Compartmentalized Security Mode (Partitioned) Definición Compartmentalized Security Mode (Partitioned) Un sistema se encuentra operando en Compartmented Security Mode, cuando todos los usuarios tienen autorización respecto de la totalidad de la información procesada por el sistema, pero no todos tienen la need-to-know. En este modo, se establecen restricciones de acceso a los usuarios, sobre la porción de información para la que no existe need-to-know. De esta forma, los usuarios terminan accediendo únicamente a un segmento, partición o compartment de datos. En un sistema acorde al Compartmentalized Security Mode, algunos necesitan conocer la información, otros no. Los usuarios del sistema deben cumplir con los requerimientos para el área o partición a la que desean acceder. Tema 3. Arquitectura y Diseño de Seguridad Modelos de Seguridad 1 Arquitectura de Computadoras 2 Mecanismos de Protección 3 Modos de Seguridad 4 Modelos de Seguridad Introducción Bell-LaPadula Biba Clark & Wilson Otros Modelos 5 Guı́as de Evaluación 6 Certificación y Acreditación Tema 3. Arquitectura y Diseño de Seguridad Modelos de Seguridad Introducción 1 Arquitectura de Computadoras 2 Mecanismos de Protección 3 Modos de Seguridad 4 Modelos de Seguridad Introducción Bell-LaPadula Biba Clark & Wilson Otros Modelos 5 Guı́as de Evaluación 6 Certificación y Acreditación Tema 3. Arquitectura y Diseño de Seguridad Modelos de Seguridad Introducción Caracterı́sticas “Los modelos de seguridad son un concepto importante en el análisis y diseño de sistemas de computo seguro” . Provee un framework dentro del cual puede ser implementada una polı́tica de seguridad. Define los lineamientos necesarios para implementar y soportar la polı́tica de seguridad. Provee los lineamientos y directivas que deben cumplir los desarrollos de hardware y software, motivo por el cual solemos referirnos a estos como la representación simbólica de una polı́tica de seguridad en un conjunto de reglas que pueden ser seguidas por una computadora. Tema 3. Arquitectura y Diseño de Seguridad Modelos de Seguridad Introducción Polı́tica vs Modelo de Seguridad Mientras que una polı́tica de seguridad es generalmente un conjunto de directivas o intenciones abstractas, un modelo de seguridad representa exactamente el modo en el cual la polı́tica deberı́a ser implementada. Las polı́ticas de seguridad proveen los objetivos abstractos y el modelo de seguridad provee las reglas necesarias para cumplir con dichos objetivos. Tema 3. Arquitectura y Diseño de Seguridad Modelos de Seguridad Introducción Implementación En la actualidad, los modelos formales de seguridad han quedado algo relegados respecto de la cambiante dinámica de negocios con la cual convivimos a diario. Siendo rigoristas, si bien los mismos aún permiten establecer parámetros generales, a nivel práctico solo pueden ser implementados parcialmente. Conceptos tales como: Firewall, Troyanos o Worms, no se encuentran contemplados en los denominados modelos formales Tema 3. Arquitectura y Diseño de Seguridad Modelos de Seguridad Bell-LaPadula 1 Arquitectura de Computadoras 2 Mecanismos de Protección 3 Modos de Seguridad 4 Modelos de Seguridad Introducción Bell-LaPadula Biba Clark & Wilson Otros Modelos 5 Guı́as de Evaluación 6 Certificación y Acreditación Tema 3. Arquitectura y Diseño de Seguridad Modelos de Seguridad Bell-LaPadula Introducción Descripción formal de los flujos de información permitidos dentro de un sistema seguro. Se utiliza para definir requerimientos de seguridad para sistemas que deben administrar datos a diferentes niveles de sensitividad. *-Property (propiedad estrella) – previene el write-down, Sujetos pertenecientes a niveles de acceso superiores no pueden escribir información en objetos de niveles de sensibilizad inferiores. Evita el filtrado de información sensitiva a niveles menos seguros. Tema 3. Arquitectura y Diseño de Seguridad Modelos de Seguridad Bell-LaPadula Modo de Operación Tema 3. Arquitectura y Diseño de Seguridad Modelos de Seguridad Bell-LaPadula Caracterı́sticas El modelo define un estado seguro (secure state) El acceso entre sujetos y objetos respeta una polı́tica de seguridad especı́fica. TCSEC es una implantación de Bell-LaPadula Solo aplica a la sensibilizad (nivel de confidencialidad/secreto) de la información. Tal vez el modelo mas representativo respecto de ambientes militares. Tema 3. Arquitectura y Diseño de Seguridad Modelos de Seguridad Bell-LaPadula Resumen Bell-Lapadula Orientado a mantener la confidencialidad. Reglas de Operación: simple-rule (no read up) = espionaje *-rule (no write down) = divulgación strong-*-rule : si se posee la capacidad de read y write sólo se pueden realizar estas funciones en el mismo nivel. Tema 3. Arquitectura y Diseño de Seguridad Modelos de Seguridad Biba 1 Arquitectura de Computadoras 2 Mecanismos de Protección 3 Modos de Seguridad 4 Modelos de Seguridad Introducción Bell-LaPadula Biba Clark & Wilson Otros Modelos 5 Guı́as de Evaluación 6 Certificación y Acreditación Tema 3. Arquitectura y Diseño de Seguridad Modelos de Seguridad Biba Introducción El modelo Biba cubre niveles de integridad, los cuales son análogos a los niveles de sensitividad del modelo Bell-LaPadula. Los niveles de integridad cubren la modificación impropia de datos. Tal vez el modelo mas representativo respecto de ambientes comerciales. Previene que usuarios no autorizados realicen modificaciones (1er objetivo de integridad) Modelo Read Up, Write Down Los sujetos no pueden leer objetos de integridad inferior, y no pueden escribir objetos de integridad superior. Tema 3. Arquitectura y Diseño de Seguridad Modelos de Seguridad Biba Modo de Operación Tema 3. Arquitectura y Diseño de Seguridad Modelos de Seguridad Biba Resumen Biba Orientado a asegurar la Integridad Reglas de Operación: simple-rule: no read down = evitar las fuentes dudosas. *-rule: no write up = no contaminar otros documentos. Tema 3. Arquitectura y Diseño de Seguridad Modelos de Seguridad Clark & Wilson 1 Arquitectura de Computadoras 2 Mecanismos de Protección 3 Modos de Seguridad 4 Modelos de Seguridad Introducción Bell-LaPadula Biba Clark & Wilson Otros Modelos 5 Guı́as de Evaluación 6 Certificación y Acreditación Tema 3. Arquitectura y Diseño de Seguridad Modelos de Seguridad Clark & Wilson Introducción Al igual que Biba, este modelo se encuentra orientado a proteger la integridad de la información. Cumple con los principales objetivos de un modelo de integridad: Previene las modificaciones por parte de usuarios no autorizados. (T – Tamper). Previene que usuarios autorizados realicen modificaciones impropias. Mantiene la consistencia interna y externa. (C – Consistencia) Refuerza el concepto de auditoria. Todas las las modificaciones deben ser registradas (L - Logged) Tema 3. Arquitectura y Diseño de Seguridad Modelos de Seguridad Clark & Wilson Well Formed Transactions Propone “Well Formed Transactions” Una WFT no es mas que una serie de operaciones que permiten la transferencia de datos de un estado seguro a otro estado seguro. Algunos de los principios relacionados con WFT son: Ejecución de tareas en forma ordenada. Ejecución exacta de las tareas definidas. Autenticación de los individuos que ejecutan las tareas. El modelo Clark & Wilson, incorpora la separación de tareas (separation of duties) dentro de la arquitectura de una aplicación. Es decir, provee las reglas que los desarrolladores deben seguir a efectos de reforzar este principio a través de procedimientos de software. Tema 3. Arquitectura y Diseño de Seguridad Modelos de Seguridad Clark & Wilson Modo de Operación Tema 3. Arquitectura y Diseño de Seguridad Modelos de Seguridad Clark & Wilson Resumen Biba Orientado a asegurar la Integridad Conceptos Clave: Access Triple = Subject -> Application (SW)-> Object Auditing = Aplicación logueando accesos Separation of Duties = Separación de tareas. Tema 3. Arquitectura y Diseño de Seguridad Modelos de Seguridad Otros Modelos 1 Arquitectura de Computadoras 2 Mecanismos de Protección 3 Modos de Seguridad 4 Modelos de Seguridad Introducción Bell-LaPadula Biba Clark & Wilson Otros Modelos 5 Guı́as de Evaluación 6 Certificación y Acreditación Tema 3. Arquitectura y Diseño de Seguridad Modelos de Seguridad Otros Modelos Modelo de máquina de estados(State Machine Model) Definición Modelo matemático abstracto que se compone de variables de estado y funciones de transición entre estados. La mayorı́a de los modelos formales de seguridad, incluyendo Bell-LaPadula y Biba, se consideran derivados de este modelo. Tema 3. Arquitectura y Diseño de Seguridad Modelos de Seguridad Otros Modelos Modelo de flujo de información (Information Flow Model) Definición Simplifica el análisis de covert channels. Cuando Information Flow Model es utilizado, un sistema es seguro si todo flujo de información ilegal no es permitido. Bell-LaPadula es un modelo de IF que asegura que la información no pueda fluir de un compartimiento a otro en forma que afecte la confidencialidad. Biba define compartimientos de datos basado en niveles de integridad, implementando de este modo, un modelo de IF que proteja la integridad de la información mas confiable. Tema 3. Arquitectura y Diseño de Seguridad Modelos de Seguridad Otros Modelos Modelo de no-interferencia Definición Cubre aquellos casos en los que se necesita prevenir que sujetos que operan en un determinado dominio puedan afectarse entre sı́ violando la polı́tica de seguridad (Actividades realizadas sobre un nivel de seguridad no deberı́an afectar o ser vistas, por sujetos u objetos en un nivel de seguridad diferente). De utilización tı́pica en sistemas multi-nivel. Su principal propósito no es otro que el de combatir ataques de inferencia y de covert channels. Tema 3. Arquitectura y Diseño de Seguridad Modelos de Seguridad Otros Modelos Modelo de Matriz de Accesos(Access Matrix Model) Definición Es un modelo de máquina de estados aplicado a un ambiente DAC (Discretionary Access Control). Decisiones de acceso, son basadas en ACLs de objetos y tablas de capacidades del sujeto. Tema 3. Arquitectura y Diseño de Seguridad Guı́as de Evaluación 1 Arquitectura de Computadoras 2 Mecanismos de Protección 3 Modos de Seguridad 4 Modelos de Seguridad 5 Guı́as de Evaluación Introducción TCSEC ITSEC CC 6 Certificación y Acreditación Tema 3. Arquitectura y Diseño de Seguridad Guı́as de Evaluación Introducción 1 Arquitectura de Computadoras 2 Mecanismos de Protección 3 Modos de Seguridad 4 Modelos de Seguridad 5 Guı́as de Evaluación Introducción TCSEC ITSEC CC 6 Certificación y Acreditación Tema 3. Arquitectura y Diseño de Seguridad Guı́as de Evaluación Introducción Antecedentes El proceso de determinar cuan seguro es un sistema puede ser una tarea difı́cil. Las organizaciones necesitan métodos para evaluar el grado de seguridad otorgado por tal o cual sistema, y de este modo determinar si el mismo resuelve los requisitos impuestos por la polı́tica de seguridad implementada. Una guı́a de evaluación, deberı́a ser lo suficientemente general en sus principios, de modo tal que la misma sirva a los efectos de comparar diferentes tipos de sistemas y otorgar a los mismos una clasificación de acuerdo al nivel de seguridad que presentan. Tema 3. Arquitectura y Diseño de Seguridad Guı́as de Evaluación Introducción Antecedentes Inicialmente, el concepto detrás de la confección de una Guı́a de Evaluación, se encuentra ı́ntimamente relacionado con la necesidad por parte de las agencias de seguridad, el gobierno, y las organizaciones privadas, de conocer el nivel o grado de seguridad, existente en los diferentes sistemas, aplicaciones o productos al momento de efectuar una compra o contratación. Tema 3. Arquitectura y Diseño de Seguridad Guı́as de Evaluación TCSEC 1 Arquitectura de Computadoras 2 Mecanismos de Protección 3 Modos de Seguridad 4 Modelos de Seguridad 5 Guı́as de Evaluación Introducción TCSEC ITSEC CC 6 Certificación y Acreditación Tema 3. Arquitectura y Diseño de Seguridad Guı́as de Evaluación TCSEC Trusted Computer Systems Evaluation Criteria En 1985 el “National Computer Security Center” (NCSC), desarrolla para el “Departamento de Defensa de los EEUU” (DoD), un conjunto de estándares, los cuales resultan en la creación de TCSEC (Trusted Computer System Evaluation Criteria). El principal objetivo detrás de la creación de TCSEC es el de proveer al gobierno y entidades relacionadas, con un guı́a que les permitiera evaluar los productos ofrecidos por los diferentes proveedores, para cada uno de los criterios de seguridad especificados. Tema 3. Arquitectura y Diseño de Seguridad Guı́as de Evaluación TCSEC Trusted Computer Systems Evaluation Criteria TCSEC == “Orange Book” TCSEC provee: Una base para establecer requisitos de seguridad en las especificaciones de adquisición. Un estándar de los servicios de seguridad que deben ser proporcionados por los vendedores para los diferentes criterios de seguridad existentes. Una forma de medir la seguridad de un sistema de información. TCSEC direcciona confidencialidad. No integridad. La funcionalidad de los mecanismos de seguridad y el Assurance de los mismos, NO son evaluados en forma separada. Tema 3. Arquitectura y Diseño de Seguridad Guı́as de Evaluación TCSEC Trusted Computer Systems Evaluation Criteria D - Minimal protection C - Discretionary Protection C1 – Usuarios cooperativos que pueden proteger su propia información C2 – DAC más granular, se puede auditar al usuario/ proceso individualmente (individual accountability) B - Mandatory Protection (Bell-LaPadula, RM, Security Labels Requeridas) B1 Labeled Security Protection (Process Isolation!) B2 Structured Protection (Covert Channels!) B3 Security Domains A - Verified Protection (Direcciona seguridad a nivel Top Secret) A1 Verified Design Tema 3. Arquitectura y Diseño de Seguridad Guı́as de Evaluación ITSEC 1 Arquitectura de Computadoras 2 Mecanismos de Protección 3 Modos de Seguridad 4 Modelos de Seguridad 5 Guı́as de Evaluación Introducción TCSEC ITSEC CC 6 Certificación y Acreditación Tema 3. Arquitectura y Diseño de Seguridad Guı́as de Evaluación ITSEC Information Technology Security Evaluation Criteria Desarrollado en Europa como estándar único de evaluación de la seguridad en sistemas. Evalúa Funcionalidad y Seguridad (Assurance) en forma separada. Effectiveness = Hacen lo que se espera que haga. Correctiveness = Que tan correcto es el proceso por el cual lo hacen. Clasificaciones por: F1-F10 Niveles de Funcionalidad. E0-E6 Niveles de Assurance. ITSEC direcciona Integridad, Disponibilidad y Confidencialidad. ITSEC se ocupa de evaluar sistemas en red mietras que TCSEC solo hace lo propio con sistemas stand-alone. Tema 3. Arquitectura y Diseño de Seguridad Guı́as de Evaluación CC 1 Arquitectura de Computadoras 2 Mecanismos de Protección 3 Modos de Seguridad 4 Modelos de Seguridad 5 Guı́as de Evaluación Introducción TCSEC ITSEC CC 6 Certificación y Acreditación Tema 3. Arquitectura y Diseño de Seguridad Guı́as de Evaluación CC Common Criteria (CC) Creado por el ISO en 1993. Creado a partir de TCSEC, ITSEC, Canadian Trusted. Computer Product Evaluation Criteria (CTCPEC) y el Federal Criteria. Provee mas flexibilidad que TCSEC e ITSEC. Tema 3. Arquitectura y Diseño de Seguridad Guı́as de Evaluación CC Componentes del Common Criteria (CC) Protection Profile (PP) Descripción de las necesidades de seguridad de un producto. Target of Evaluation (TOE) Producto que se propone evaluar. Security Target (ST) Descripción escrita por el proveedor explicando las funcionalidades de seguridad (que hace?) y mecanismos de assurance que cumplen los requerimientos de seguridad (como lo hace?). Packages – Evaluation Assurance Levels (EAL) Los requerimientos Funcionales (definen el comportamiento del producto relacionado con la seguridad) y de Assurance (establece el nivel de confianza en el producto) son reunidos en paquetes para ser reutilizados. Describen los requisitos a cumplir para alcanzar cada nivel EAL especı́fico. Tema 3. Arquitectura y Diseño de Seguridad Guı́as de Evaluación CC Package Ratings – Evaluations Ratings 1 Basic Assurance EAL EAL EAL EAL 2 1 2 3 4 Functionally tested Structurally tested Methodically tested and checked Methodically designed, tested and reviewed Medium Assurance EAL 5 Semiformally designed and tested 3 High Assurance EAL 6 Semiformally verified design and tested EAL 7 Formally verified design and tested Tema 3. Arquitectura y Diseño de Seguridad Certificación y Acreditación 1 Arquitectura de Computadoras 2 Mecanismos de Protección 3 Modos de Seguridad 4 Modelos de Seguridad 5 Guı́as de Evaluación 6 Certificación y Acreditación Introducción 7 Amenazas y Ataques Tema 3. Arquitectura y Diseño de Seguridad Certificación y Acreditación Introducción 1 Arquitectura de Computadoras 2 Mecanismos de Protección 3 Modos de Seguridad 4 Modelos de Seguridad 5 Guı́as de Evaluación 6 Certificación y Acreditación Introducción 7 Amenazas y Ataques Tema 3. Arquitectura y Diseño de Seguridad Certificación y Acreditación Introducción Definiciones Procedimientos y Juicios que determinan si un sistema se encuentra en condiciones para operar en un ambiente operativo determinado (suitability). La certificación considera al sistema dentro del ambiente operativo. La acreditación refiere a la decisión oficial de la gerencia relacionada con la operación del sistema en el ambiente especificado. Tema 3. Arquitectura y Diseño de Seguridad Certificación y Acreditación Introducción Definiciones Certificación Evaluación técnica mediante la cual se revisan los mecanismos y controles de seguridad, con el objeto de evaluar su efectividad. Acreditación Aceptación oficial de los resultados de una certificación. Tema 3. Arquitectura y Diseño de Seguridad Amenazas y Ataques 1 Arquitectura de Computadoras 2 Mecanismos de Protección 3 Modos de Seguridad 4 Modelos de Seguridad 5 Guı́as de Evaluación 6 Certificación y Acreditación 7 Amenazas y Ataques Amenazas Tema 3. Arquitectura y Diseño de Seguridad Amenazas y Ataques Amenazas 1 Arquitectura de Computadoras 2 Mecanismos de Protección 3 Modos de Seguridad 4 Modelos de Seguridad 5 Guı́as de Evaluación 6 Certificación y Acreditación 7 Amenazas y Ataques Amenazas Tema 3. Arquitectura y Diseño de Seguridad Amenazas y Ataques Amenazas Covert Channels Definición Un canal de comunicación que permite la transferencia de información entre dos procesos violando la polı́tica de seguridad del sistema. Producto de: Descuido en el desarrollo del producto. Implementación no apropiada de control de acceso. Existencia de un recurso compartido entre dos entidades. Instalación de un Caballo de Troya. Covert Storage Channel involucra uso de memoria compartida entre los dos procesos. Covert Timing Channel involucra la modulación del uso de un recurso del sistema (por ejemplo CPU). Tema 3. Arquitectura y Diseño de Seguridad Amenazas y Ataques Amenazas Timing Attacks / Asynchronous Attacks Buscan tomar ventaja en el paso del tiempo entre dos eventos diferentes. Time of Check / Time of Use (TOC/TOU) El ataque ocurre por ejemplo, entre el momento en el que se revisa un archivo determinado y el momento en que se lo utiliza. Un usuario se logue en el sistema por la mañana y es despedido por la tarde. Por seguridad, el administrador remueve el usuario de la base de datos, pero si el usuario en cuestión no es obligado a hacer el log off, aun podrá seguir accediendo por algún tiempo a los recursos de la compañı́a. Tema 3. Arquitectura y Diseño de Seguridad Amenazas y Ataques Amenazas Radiación Electromagnética Simplemente debido a las clases de componentes electrónicos con los cuales se construyen, muchos dispositivos de hardware emiten radiación electromagnética durante su operación. En ciertas circunstancias estas emanaciones pueden ser interceptadas y las secuencias de teclado reconstruidas. También es posible detectar y leer paquetes de red en forma pasiva, a lo largo de un segmento de la red. Tema 3. Arquitectura y Diseño de Seguridad Referencias bibliográficas Referencias bibliográficas I S Harris. CISSP Certification All-in-One Exam Guide, Fourth Edition. McGraw-Hill Osborne Media; 4 edition (November 9, 2007).