Tema 3. Arquitectura y Diseño de Seguridad

Anuncio
Tema 3. Arquitectura y Diseño de Seguridad
Tema 3. Arquitectura y Diseño de Seguridad
Seguridad Informática
Francisco Medina López —
[email protected]
http://aulavirtual.capacitacionentics.com
Facultad de Contadurı́a y Administración
Universidad Nacional Autónoma de México
2015-1
Tema 3. Arquitectura y Diseño de Seguridad
Agenda
1 Arquitectura de Computadoras
2 Mecanismos de Protección
3 Modos de Seguridad
4 Modelos de Seguridad
5 Guı́as de Evaluación
6 Certificación y Acreditación
7 Amenazas y Ataques
Tema 3. Arquitectura y Diseño de Seguridad
Arquitectura de Computadoras
1 Arquitectura de Computadoras
Introducción
Hardware
Firmware
Software
2 Mecanismos de Protección
3 Modos de Seguridad
4 Modelos de Seguridad
5 Guı́as de Evaluación
6 Certificación y Acreditación
Tema 3. Arquitectura y Diseño de Seguridad
Arquitectura de Computadoras
Introducción
1 Arquitectura de Computadoras
Introducción
Hardware
Firmware
Software
2 Mecanismos de Protección
3 Modos de Seguridad
4 Modelos de Seguridad
5 Guı́as de Evaluación
6 Certificación y Acreditación
Tema 3. Arquitectura y Diseño de Seguridad
Arquitectura de Computadoras
Introducción
Arquitectura y Sistema de Cómputo
Arquitectura de Computadoras
Disciplina de la Ingenierı́a, relacionada con el diseño y la
construcción de sistemas de cómputo a nivel lógico.
Arquitectura de Cómputo
Comprende la estructura de un sistema de cómputo.
Sistema de Cómputo
Conjunto formado por hardware, firmware, software, medios de
almacenamiento, datos o información y personas involucradas.
Tema 3. Arquitectura y Diseño de Seguridad
Arquitectura de Computadoras
Introducción
Arquitectura de Computadoras
La Arquitectura de Computadoras comprende todas y cada una de
las partes necesarias para que un sistema de computo funcione,
esto incluye:
Sistema Operativo
Chips de Memoria
Circuitos
Discos Duros
Componentes de Seguridad
Conexiones Bus
Componentes de Red
Etc.
Tema 3. Arquitectura y Diseño de Seguridad
Arquitectura de Computadoras
Introducción
Computadora vs Servidor
Computadora
Máquina digital programable.
Servidor
En una red cliente/servidor, son los equipos que proveen
información (datos) y servicios (impresión de documentos,
transferencia de archivos, correo electrónico,...) a las estaciones de
trabajo (clientes).
Tema 3. Arquitectura y Diseño de Seguridad
Arquitectura de Computadoras
Hardware
1 Arquitectura de Computadoras
Introducción
Hardware
Firmware
Software
2 Mecanismos de Protección
3 Modos de Seguridad
4 Modelos de Seguridad
5 Guı́as de Evaluación
6 Certificación y Acreditación
Tema 3. Arquitectura y Diseño de Seguridad
Arquitectura de Computadoras
Hardware
Hardware
Definición
Conjunto de componentes tangibles (o fı́sicos) de una
computadora. 1
Componentes principales de la plataforma de hardware en la
Arquitectura de Computadoras:
CPU (Unidad Central de Procesamiento)
Memoria
Bus de conexiones
Dispositivos de Entrada/ Salida (I/O)
Dispositivos de Almacenamiento
1
http://www.carlospes.com/minidiccionario/hardware.php
Tema 3. Arquitectura y Diseño de Seguridad
Arquitectura de Computadoras
Hardware
CPU
Unidad Central de Proceso (CPU)
También conocido como procesador, es el componente en una
computadora digital que interpreta las instrucciones y procesa los
datos contenidos en los programas de la computadora. 2
Contiene:
1
Almacenamiento primario (Registros)
2
Unidad de Control (UC)
3
Unidad de Aritmético Lógica (ALU)
4
Unidad de Administración de Memoria (MMU)
2
http://es.wikipedia.org/wiki/Unidad_central_de_procesamiento
Tema 3. Arquitectura y Diseño de Seguridad
Arquitectura de Computadoras
Hardware
Componentes principales del CPU
1
Almacenamiento primario
Registros3 que almacenan instrucciones y datos que van a ser
procesados
2
Unidad de Control
Coordina la actividad durante la ejecución de instrucciones de
un programa
No procesa datos, solo controla los procesos que se están
ejecutando
3
Unidad de Aritmético Lógica
Realiza operaciones matemáticas y lógicas
4
MMU
Manipula direcciones y catálogos de datos almacenados en
memoria además de convertir las direcciones lógicas en fı́sicas
3
Memoria intermedia
Tema 3. Arquitectura y Diseño de Seguridad
Arquitectura de Computadoras
Hardware
Caracterı́sticas principales de un Procesador
Reducido SET de instrucciones
MIPS (Millones de Instrucciones por Segundo)
Tema 3. Arquitectura y Diseño de Seguridad
Arquitectura de Computadoras
Hardware
Estructura interna de un Procesador
UC (Unidad de Control): La Unidad de Control es la
encargada de gestionar y controlar el correcto
funcionamiento de la Unidad de Proceso, indicando
cuando una instrucción debe ser enviada al
procesador. La UC no procesa datos, tan solo actúa
como agente de tránsito.
UP (Unidad de Proceso): Formada por componentes
tales como: la ALU, Registros, y buses.
ALU (Unidad Aritmético-Lógica): Encargada de
llevar a cabo funciones matemáticas y operaciones
lógicas.
Registros: Almacenan datos durante cierto tiempo,
dentro la CPU.
Bus: Conjunto de circuitos y conectores
”Podrı́amos decir que la ALU
es el cerebro del procesador, y
el procesador el cerebro de la
computadora.”
Tema 3. Arquitectura y Diseño de Seguridad
Arquitectura de Computadoras
Hardware
Operación Básica de un Procesador
La operación de un procesador consiste básicamente en dos
fases: obtener (fetch) y ejecutar (execute).
Durante la fase de obtención, la CPU localiza y recupera las
instrucciones de memoria.
Durante la fase de ejecución, la CPU decodifica y ejecuta las
instrucciones.
Estas dos fases componen lo que se llama ciclo de reloj (clock
singals).
A los programas ejecutados por el procesador se llaman
procesos.
Tema 3. Arquitectura y Diseño de Seguridad
Arquitectura de Computadoras
Hardware
Estados del procesador
La CPU, se encuentra siempre en alguno de los siguientes estados
principales:
User State En este estado, solo pueden ser ejecutadas
instrucciones no- privilegiadas.
Supervisor State / Privileged Mode En este estado,
pueden ser ejecutadas tanto instrucciones no-privilegiadas
como privilegiadas.
Tema 3. Arquitectura y Diseño de Seguridad
Arquitectura de Computadoras
Hardware
Procesos
Un proceso es un programa en ejecución, el cual se encuentra
compuesto de código ejecutable, datos e información relativa
su ejecución.
Un proceso trabaja en su propio espacio de direcciones y
puede comunicarse con otros procesos, solo a través de pasos
autorizados por el sistema operativo.
Los “estados de un proceso” no es lo mismo que los “estados
de la CPU”. Mientras que los “estados de la CPU” define el
modo operativo de la CPU, los “estados de un proceso” se
refiere al modo en que los procesos se encuentran corriendo
dentro de esta.
El estado de los procesos o “Process State”, es particular de
cada sistema operativo. Ready, Waiting, Running y Stopped
son solo algunos de los estados mas comúnmente encontrados.
Tema 3. Arquitectura y Diseño de Seguridad
Arquitectura de Computadoras
Hardware
Procesos vs Hilos
Un proceso es un programa en ejecución que posee su propio
espacio de trabajo, y solo puede comunicarse con otro proceso de
modo controlado.
Un Thread en cambio, representa una pieza de código que esta
siendo ejecutada dentro de un proceso.
Un proceso puede incluir uno o mas Threads.
Tema 3. Arquitectura y Diseño de Seguridad
Arquitectura de Computadoras
Hardware
Estados de un proceso
Detenido
El proceso no se encuentra en ejecución
Pudo haber sido detenido por el sistema operativo o un usuario
En espera
El proceso se encuentra esperando por una interrupción
(generalmente de IO) que le permita ser de nuevo procesado
por la CPU
Estas interrupciones permiten compartir el tiempo de
procesamiento de la CPU
En ejecución
Las instrucciones del proceso están siendo ejecutadas por la
CPU
Se le conoce también como tiempo de ejecución
Listo
El proceso listo para ser utilizado y a la espera de una
instrucción
Tema 3. Arquitectura y Diseño de Seguridad
Arquitectura de Computadoras
Hardware
Estados de un proceso
Tema 3. Arquitectura y Diseño de Seguridad
Arquitectura de Computadoras
Hardware
Diseños de CPU
Actualmente existen dos tipos de diseños ampliamente extendidos:
Complex-Instruction-Set-Computing (CISC): Conjunto de
instrucciones que se caracteriza por ser muy amplio y permitir
operaciones complejas entre operandos situados en la
memoria o en los registros internos
Reduced-Instruction-Set-Computing (RISC): Filosofı́a de
diseño de CPU que está a favor de conjuntos de instrucciones
pequeñas y simples que toman menor tiempo para ejecutarse.
Cuando se ejecuta un programa difı́cil, o extenso, los CISC son más
rápidos y eficaces que los RISC. En cambio cuando se tiene en
ejecución un conjunto de instrucciones sencillas, cortas y simples,
los RISC son más rápidos.
Tema 3. Arquitectura y Diseño de Seguridad
Arquitectura de Computadoras
Hardware
Caracterı́sticas de la CPU
Scalar Processor: Procesador que ejecuta una instrucción
por vez.
Superscalar Processor: Procesador que permite la ejecución
de varias instrucciones en la misma etapa del pipeline, como
ası́ también en diferentes etapas de pipeline. (IBM RS/6000)
Multitasking: Ejecución de dos o mas tareas al mismo
tiempo utilizando un solo CPU. Coordinado por el SO
(Windows 2000, Linux, OS/3
Tema 3. Arquitectura y Diseño de Seguridad
Arquitectura de Computadoras
Hardware
Caracterı́sticas de la CPU (II)
Multiprogramming: Ejecución simultánea de dos o más
programas utilizando un solo CPU.
A diferencia de lo que ocurre con Multitasking, cuya
implementación suele encontrarse en sistemas operativos de
PC tales como Linux y Windows, Multiprogramming suele
encontrarse generalmente en mainframes o sistemas legacy.4
Multitasking es normalmente coordinado por el sistema
operativo, mientras que Multiprogramming requiere que el
software se encuentre especialmente escrito para coordinar sus
propias acciones a través del sistema operativo.
4
Un sistema heredado (o sistema legacy) es un sistema informático (equipos informáticos y/o aplicaciones)
que ha quedado anticuado pero continúa siendo utilizado por el usuario (tı́picamente una organización o empresa) y
no se quiere o no se puede reemplazar o actualizar de forma sencilla.
Tema 3. Arquitectura y Diseño de Seguridad
Arquitectura de Computadoras
Hardware
Caracterı́sticas de la CPU (III)
Multiprocessing: Ejecución simultánea de dos o más
programas en múltiples CPUs.
SMP (Symmetric Multiprocessing) Una computadora, con
mas de un procesador, controlado por un solo sistema
operativo (Bus de Datos y Memoria Compartidos).
MPP (Massively Parallel Processing) Cientos o miles de
procesadores, cada uno de los cuales utiliza su propio juego de
recursos (sistema operativo, bus de datos y memoria).
Tema 3. Arquitectura y Diseño de Seguridad
Arquitectura de Computadoras
Hardware
Caracterı́sticas de la CPU (IV)
Multithreading: Ejecución de múltiples tareas al mismo
tiempo utilizando un solo CPU. A diferencia de lo que ocurre
con Multitasking donde las diferentes tareas ocupan diferentes
“procesos”, Multithreading permite ejecutar varias tareas en
un solo “proceso”.
Quizás un buen ejemplo de Multithreading, sea cuando
abrimos varios documentos de Word, lo cual no genera
múltiples instancias de Word, precisamente porque todas ellas
corren en un solo proceso utilizando diferentes hilos.
Tema 3. Arquitectura y Diseño de Seguridad
Arquitectura de Computadoras
Hardware
Memorias
Cache
Flash Memory
RAM (Random Access Memory)
Dynamic Random Access Memory (DRAM)
Extended Data Output RAM (EDO RAM)
Synchronous DRAM (SDRAM)
Double Data Rate SDRAM (DDR SDRAM)
Burst Extended Data Output DRAM (BEDO DRAM)
ROM (Read Only Memory)
Programmable Read Only Memory (PROM)
Erasable Programmable Read-Only Memory (EPROM)
Electrically Erasable Programmable Read-Only Memory
(EEPROM)
Tema 3. Arquitectura y Diseño de Seguridad
Arquitectura de Computadoras
Hardware
Memorias (II)
Memoria Primaria (Real Memory – Primary Storage)
Directamente accesible por la CPU y frecuentemente utilizada
al momento de almacenar datos e instrucciones asociados con
el programa que se encuentra en ejecución. Generalmente
RAM.
Memoria Secundaria (Secondary Storage)
Almacenamiento no volátil, mas lento que la memoria
primaria. Ejemplo: Discos Duros, CDs, DVDs, Floppys.
Memoria Virtual (Virtual Memory – Virtual Storage)
Combinación de memoria primaria y secundaria. Define un
único espacio de direccionamiento. Habilidad para extender el
tamaño aparente de la memoria RAM usando parte del disco
rı́gido. (Swapping / Paging)
Tema 3. Arquitectura y Diseño de Seguridad
Arquitectura de Computadoras
Hardware
Jerarquı́a de acceso a memoria
Tema 3. Arquitectura y Diseño de Seguridad
Arquitectura de Computadoras
Hardware
Direccionamiento de Memoria
Cuando se utilizan recursos de memoria, el procesador debe
tener alguna forma de referirse a los diferentes lugares
existentes dentro de ella. La solución a este problema, se
conoce como “Direccionamiento” por su termino en ingles
“Addressing”.
Tipos:
Por Registro (Register Addressing)
Directo (Direct Addressing)
Absoluto (Absolute Addressing)
Indexado (Indexed Addressing)
Implı́cito (Implied Addressing)
Indirecto (Indirect Addressing)
Tema 3. Arquitectura y Diseño de Seguridad
Arquitectura de Computadoras
Hardware
Protección de Memoria
Previene el acceso de un programa al espacio de memoria
reservado para otro programa
Se implanta a nivel de sistema operativo o hardware
Tema 3. Arquitectura y Diseño de Seguridad
Arquitectura de Computadoras
Hardware
Estructura de E/S
Input/Output (I/O) interface adapters: Permiten la
comunicación entre el procesador y los dispositivos externos
Memory-Mapped I/O: Se otorga una dirección de memoria
“central” al dispositivo
Isolated I/O: Una señal especial en el bus de comunicación
indica la ejecución de una operación de I/O. No utiliza
memoria “central”
Direct Memory Access (DMA): Data es transferida en
forma directa desde y hacia la memoria, no requiere del CPU
Interrupt Processing: Una señal externa interrumpe el flujo
normal del programa para requerir servicio
Tema 3. Arquitectura y Diseño de Seguridad
Arquitectura de Computadoras
Hardware
Bus
Bus: Circuitos impresos (o bien cables) que transmiten los
datos del procesador.
de transmisión de datos: lı́neas fı́sicas por dónde circulan los
datos que se han leı́do o que se van a escribir (entrada/salida).
de direcciones: lı́neas fı́sicas por dónde circulan las
direcciones de memoria desde dónde se leerán (entrada), o se
escribirán (salida), los datos.
de control: lı́neas fı́sicas por dónde circulan las órdenes de
control (entrada/salida).
Tema 3. Arquitectura y Diseño de Seguridad
Arquitectura de Computadoras
Firmware
1 Arquitectura de Computadoras
Introducción
Hardware
Firmware
Software
2 Mecanismos de Protección
3 Modos de Seguridad
4 Modelos de Seguridad
5 Guı́as de Evaluación
6 Certificación y Acreditación
Tema 3. Arquitectura y Diseño de Seguridad
Arquitectura de Computadoras
Firmware
Firmware
Definción
Bloque de instrucciones de programa para propósitos especı́ficos,
grabado en una memoria de tipo no volátil (ROM, EEPROM,
flash,...), que establece la lógica de más bajo nivel que controla los
circuitos electrónicos de un dispositivo de cualquier tipo.
Al estar integrado en la electrónica del dispositivo es en parte
hardware, pero también es software, ya que proporciona lógica y se
dispone en algún tipo de lenguaje de programación. 5
5
http://www.carlospes.com/minidiccionario/software.php
Tema 3. Arquitectura y Diseño de Seguridad
Arquitectura de Computadoras
Software
1 Arquitectura de Computadoras
Introducción
Hardware
Firmware
Software
2 Mecanismos de Protección
3 Modos de Seguridad
4 Modelos de Seguridad
5 Guı́as de Evaluación
6 Certificación y Acreditación
Tema 3. Arquitectura y Diseño de Seguridad
Arquitectura de Computadoras
Software
Definición
Software
Conjunto de programas y datos con los que trabaja una
computadora el cual es inmaterial (o lógico).6
6
http://www.carlospes.com/minidiccionario/software.php
Tema 3. Arquitectura y Diseño de Seguridad
Arquitectura de Computadoras
Software
Clasificación del Software
1
Programas de sistema (software de sistema):controlan la
operación de la computadora.
Compiladores
Sistema Operativo
2
Programas de aplicación (software de aplicación): resuelven
problemas para los usuarios.
RDBMS
Sistemas
Juegos
Tema 3. Arquitectura y Diseño de Seguridad
Arquitectura de Computadoras
Software
Sistema Operativo
Sirve de intermediario (interfaz) entre los programas y la
computadora. Se puede definir de dos formas ligadas a sus
objetivos.
Tema 3. Arquitectura y Diseño de Seguridad
Arquitectura de Computadoras
Software
Sistema Operativo (II)
Software principal de toda plataforma de computo.
Este es cargado en la computadora por medio de un programa
denominado Boot, nombre con el que solemos referirnos al
proceso responsable de la carga del sistema operativo.
Grandes computadoras o mainframes, utilizan una secuencia
boot conocida como IPL (Initial Program Load).
Durante toda secuencia de booteo, un pequeño programa es
cargado en memoria, el cual una vez inicializado realiza la
carga total del sistema operativo.
Una vez en ejecución, el sistema operativo es el responsable
de controlar varios subsistemas tales como las utilidades de
software, aplicaciones, sistemas de archivos, control de acceso,
etc.
Tema 3. Arquitectura y Diseño de Seguridad
Arquitectura de Computadoras
Software
Sistema Operativo (III)
Todo sistema operativo persigue dos objetivos principales:
Controlar el uso de los sistemas y recursos.
Proveer de una interfaz entre usuario y computador (máquina
extendida)
Como administrador de recursos
Es el encargado de proporcionar una asignación ordenada y
controlada de los recursos (CPU, memoria y disco) para los varios
programas que compiten por ellos.
Como máquina extendida
Es el encargado de presentar al usuario el equivalente de un
máquina virtual o extendida que sea más fácil de programar que el
hardware subyacente.
Tema 3. Arquitectura y Diseño de Seguridad
Arquitectura de Computadoras
Software
Sistemas Abiertos y Cerrados
Los sistemas pueden ser desarrollados de forma tal de que resulte
sencilla su integración con otros sistemas (Open), o pueden ser
desarrollados con una naturaleza mas propietaria (Closed)
construidos para funcionar solo con un sub-grupo de otros sistemas
o productos
Tema 3. Arquitectura y Diseño de Seguridad
Arquitectura de Computadoras
Software
Sistemas Abiertos y Cerrados (II)
Sistema Abierto
Aquel sistema independiente del fabricante que cumple con ciertos
estándares públicos y generalmente aceptados.
Promueven la interoperabilidad y compatibilidad entre
sistemas y componentes fabricados por distintos fabricantes.
Pueden ser evaluados de manera independiente.
Sistema Cerrado
Aquel que usa hardware/software propietario que puede o no ser
compatible con otros sistemas o componentes.
El código fuente de los programas generalmente no esta a
disposición del público.
Tema 3. Arquitectura y Diseño de Seguridad
Arquitectura de Computadoras
Software
Hardware, Firmware y Software
Tema 3. Arquitectura y Diseño de Seguridad
Mecanismos de Protección
1 Arquitectura de Computadoras
2 Mecanismos de Protección
Trusted Computing Base (TCB)
Monitor de Referencia
Kernel de Seguridad
Protection Rings
Layering
Data Hiding
3 Modos de Seguridad
4 Modelos de Seguridad
5 Guı́as de Evaluación
Tema 3. Arquitectura y Diseño de Seguridad
Mecanismos de Protección
Trusted Computing Base (TCB)
1 Arquitectura de Computadoras
2 Mecanismos de Protección
Trusted Computing Base (TCB)
Monitor de Referencia
Kernel de Seguridad
Protection Rings
Layering
Data Hiding
3 Modos de Seguridad
4 Modelos de Seguridad
5 Guı́as de Evaluación
Tema 3. Arquitectura y Diseño de Seguridad
Mecanismos de Protección
Trusted Computing Base (TCB)
Definiciones
Trusted Computing Base (TCB)
Base segura o fiable de cómputo (TCB)7 es la combinación de
todos mecanismos de protección en un sistema de cómputo,
incluyendo hardware, firmware y software, responsables de
aplicar una polı́tica de seguridad 8 .
7
Termino acuñado en el libro naranja formalmente conocido como (Trusted
Computer System Evaluation Criteria (TCSEC))
8
http://www.rediris.es/cert/doc/unixsec/node36.html
Tema 3. Arquitectura y Diseño de Seguridad
Mecanismos de Protección
Monitor de Referencia
1 Arquitectura de Computadoras
2 Mecanismos de Protección
Trusted Computing Base (TCB)
Monitor de Referencia
Kernel de Seguridad
Protection Rings
Layering
Data Hiding
3 Modos de Seguridad
4 Modelos de Seguridad
5 Guı́as de Evaluación
Tema 3. Arquitectura y Diseño de Seguridad
Mecanismos de Protección
Monitor de Referencia
Definiciones
Monitor de Referencia
Es un modelo abstracto que define las reglas de acceso de un
sujeto a un objeto.
Controla el acceso de sujetos (Subject, Sujeto, Asunto,
Personas) a recursos (Object, Objeto, Información).
Concepto abstracto, implementado en Security Kernel.
Tema 3. Arquitectura y Diseño de Seguridad
Mecanismos de Protección
Kernel de Seguridad
1 Arquitectura de Computadoras
2 Mecanismos de Protección
Trusted Computing Base (TCB)
Monitor de Referencia
Kernel de Seguridad
Protection Rings
Layering
Data Hiding
3 Modos de Seguridad
4 Modelos de Seguridad
5 Guı́as de Evaluación
Tema 3. Arquitectura y Diseño de Seguridad
Mecanismos de Protección
Kernel de Seguridad
Definiciones
Kernel de Seguridad
Parte del TCB que implementa y asegura el concepto del
Reference Monitor. Se compone de hardware, firmware y software.
Analiza todos los intentos de acceso de los sujetos a los objetos.
Es responsable por mediar entre los accesos de sujetos a objetos;
estar protegido de modificaciones; ser verificable como correcto.
Pequerimientos para el Kernel Seguro
Aislamiento del proceso.
Intermediario. Imposible de esquivar.
De funcionamiento verificable.
Pequeño para ser verificado en su totalidad en forma confiable.
Kernel de Windows Vista
Tema 3. Arquitectura y Diseño de Seguridad
Mecanismos de Protección
Kernel de Seguridad
Kernel Seguro
Tema 3. Arquitectura y Diseño de Seguridad
Mecanismos de Protección
Protection Rings
1 Arquitectura de Computadoras
2 Mecanismos de Protección
Trusted Computing Base (TCB)
Monitor de Referencia
Kernel de Seguridad
Protection Rings
Layering
Data Hiding
3 Modos de Seguridad
4 Modelos de Seguridad
5 Guı́as de Evaluación
Tema 3. Arquitectura y Diseño de Seguridad
Mecanismos de Protección
Protection Rings
Definiciones
Protection Domain
Conjunto de objetos que un sujeto es capaz de acceder. Los
dominios deben ser identificados, separados y asegurados.
Security Perimeter
Lı́nea que separa el TCB del resto del sistema (Todos los
elementos que se encuentra más allá del control de TCB se los
denomina externos al perı́metro de seguridad).
Resource Isolation
Principio que dicta que sujetos, objetos y controles; deben
encontrarse correctamente aislados unos de otros. Requerimiento
básico de toda arquitectura y modelo de seguridad.
Tema 3. Arquitectura y Diseño de Seguridad
Mecanismos de Protección
Protection Rings
Protection Rings
Se organizan con el dominio mas privilegiado localizado en el
anillo del centro y el de menor privilegio en el anillo mas
alejado del mismo.
En el anillo 0 usualmente se encuentra el “Kernel” del sistema
operativo.
Un sujeto en el anillo 3, no puede acceder directamente un
objeto situado en el anillo 1, pero un sujeto en el anillo 1 si
puede acceder directamente un objeto situado en el anillo 3.
Las entidades, solo pueden acceder objetos dentro de su
propio anillo o a uno superior.
Tema 3. Arquitectura y Diseño de Seguridad
Mecanismos de Protección
Protection Rings
Protection Rings (II)
Anillo 0: Kernel/Memoria
(Componentes Residentes)
Anillo 1: Otros componentes del
sistema operativo
Anillo 2: Controladores,
Protocoles, etc
Anillo 3: Programas y
Aplicaciones de Nivel Usuario
Anillo 0-2: Modo supervisor o
protegido
Anillo 3 Se ejecuta en modo
usuario
Tema 3. Arquitectura y Diseño de Seguridad
Mecanismos de Protección
Layering
1 Arquitectura de Computadoras
2 Mecanismos de Protección
Trusted Computing Base (TCB)
Monitor de Referencia
Kernel de Seguridad
Protection Rings
Layering
Data Hiding
3 Modos de Seguridad
4 Modelos de Seguridad
5 Guı́as de Evaluación
Tema 3. Arquitectura y Diseño de Seguridad
Mecanismos de Protección
Layering
Definición
Tema 3. Arquitectura y Diseño de Seguridad
Mecanismos de Protección
Data Hiding
1 Arquitectura de Computadoras
2 Mecanismos de Protección
Trusted Computing Base (TCB)
Monitor de Referencia
Kernel de Seguridad
Protection Rings
Layering
Data Hiding
3 Modos de Seguridad
4 Modelos de Seguridad
5 Guı́as de Evaluación
Tema 3. Arquitectura y Diseño de Seguridad
Mecanismos de Protección
Data Hiding
Definición
Data Hiding
Importante caracterı́stica de la seguridad multinivel.
Este principio asegura que los datos existentes en un nivel de
seguridad, no son visibles a procesos que se ejecutan en un
nivel diferente.
El concepto clave detrás de Data Hiding, es el de asegurar que
quienes no tengan Need-to-Know respecto del detalle
involucrado en el acceso y procesamiento de datos en un
determinado nivel, no tenga forma de deducir, observar u
aprender el mismo.
Tema 3. Arquitectura y Diseño de Seguridad
Modos de Seguridad
1 Arquitectura de Computadoras
2 Mecanismos de Protección
3 Modos de Seguridad
Antecedentes
Dedicated Security Mode
System High Security Mode
Multi-Level Security Mode (MLS)
Compartmentalized Security Mode (Partitioned)
4 Modelos de Seguridad
5 Guı́as de Evaluación
6 Certificación y Acreditación
Tema 3. Arquitectura y Diseño de Seguridad
Modos de Seguridad
Antecedentes
1 Arquitectura de Computadoras
2 Mecanismos de Protección
3 Modos de Seguridad
Antecedentes
Dedicated Security Mode
System High Security Mode
Multi-Level Security Mode (MLS)
Compartmentalized Security Mode (Partitioned)
4 Modelos de Seguridad
5 Guı́as de Evaluación
6 Certificación y Acreditación
Tema 3. Arquitectura y Diseño de Seguridad
Modos de Seguridad
Antecedentes
Historia
Históricamente, los requerimientos de seguridad han sido
satisfechos por medio del uso contramedidas relacionadas con
aspectos fı́sicos, de las personas, y de la información en si
misma.
Con los avances en tecnologı́a, es posible implementar
contramedidas, ya no solo en el entorno, sino también en el
mismo sistema.
El gobierno de los EEUU ha designado cuatro modos de
seguridad a partir de los cuales puede ser posible procesar
información clasificada.
El modo de operación, describe las condiciones de seguridad
bajo las cuales el sistema realmente debe funcionar.
Tema 3. Arquitectura y Diseño de Seguridad
Modos de Seguridad
Antecedentes
Clasificación de la Información
Un sistema puede operar en diferentes modos, dependiendo de
la sensibilidad de los datos que en el mismo han de ser
procesados, el nivel de separación de los usuarios (Clearance
Level/Clasificación de la Información) y lo que estos usuarios
se encuentran en condiciones de hacer.
El nivel o modo de seguridad de computo requerido en un
sistema, depende de la evaluación del riesgo y la naturaleza
del entorno.
Tema 3. Arquitectura y Diseño de Seguridad
Modos de Seguridad
Antecedentes
Need to Know
Definición
Need to Know Access (Otorgar acceso solo a lo necesario) es un
esquema de autorización de acceso, en el cual los derechos de
acceso a un objeto por parte de un sujeto, son otorgados tomando
en consideración, no solo el nivel de privilegio que el mismo posee,
sino también la relevancia del dato involucrado en la tarea que el
sujeto debe realizar.
Need to Know indica que el sujeto requiere acceso al objeto a
fin de poder realizar su trabajo.
Aun teniendo el nivel de privilegio adecuado, quienes no
tengan Need to know, no deben ser capaces de acceder el
objeto en cuestión.
Tema 3. Arquitectura y Diseño de Seguridad
Modos de Seguridad
Dedicated Security Mode
1 Arquitectura de Computadoras
2 Mecanismos de Protección
3 Modos de Seguridad
Antecedentes
Dedicated Security Mode
System High Security Mode
Multi-Level Security Mode (MLS)
Compartmentalized Security Mode (Partitioned)
4 Modelos de Seguridad
5 Guı́as de Evaluación
6 Certificación y Acreditación
Tema 3. Arquitectura y Diseño de Seguridad
Modos de Seguridad
Dedicated Security Mode
Definición
Modo de Seguridad Dedicado
Todos los usuarios están autorizados y tienen “need-to- know” de
la información que es procesada por el sistema.
Muchos sistemas militares han sido diseñados para manejar un
nivel de seguridad en modo dedicado.
En este modelo, cada uno de los usuarios que acceden al
sistema debe poseer un alto nivel de autorización(clearance).
Si un sistema maneja información clasificada como TOP
SECRET, solo usuarios con este nivel de autorización podrán
acceder el mismo.
Tema 3. Arquitectura y Diseño de Seguridad
Modos de Seguridad
System High Security Mode
1 Arquitectura de Computadoras
2 Mecanismos de Protección
3 Modos de Seguridad
Antecedentes
Dedicated Security Mode
System High Security Mode
Multi-Level Security Mode (MLS)
Compartmentalized Security Mode (Partitioned)
4 Modelos de Seguridad
5 Guı́as de Evaluación
6 Certificación y Acreditación
Tema 3. Arquitectura y Diseño de Seguridad
Modos de Seguridad
System High Security Mode
Definición
System High Security Mode
Todos los usuarios del sistema tienen permitido y aprobado la
posibilidad de ver la información dentro del sistema, pero no
necesariamente necesitan conocer la misma (tı́picamente militar).
Todos los usuarios tienen “need-to-know” sobre ALGUNOS de
los datos.
Al igual que en el modelo anterior, en este cada uno de los
usuarios que acceden al sistema debe poseer un alto nivel de
autorización, sin embargo un usuario puede tener acceso
restringido a información para la cual no tiene “need-toknow”.
Tema 3. Arquitectura y Diseño de Seguridad
Modos de Seguridad
Multi-Level Security Mode (MLS)
1 Arquitectura de Computadoras
2 Mecanismos de Protección
3 Modos de Seguridad
Antecedentes
Dedicated Security Mode
System High Security Mode
Multi-Level Security Mode (MLS)
Compartmentalized Security Mode (Partitioned)
4 Modelos de Seguridad
5 Guı́as de Evaluación
6 Certificación y Acreditación
Tema 3. Arquitectura y Diseño de Seguridad
Modos de Seguridad
Multi-Level Security Mode (MLS)
Definición
Multi-Level Security Mode (MLS)
Este modo de operación, permite que dos o mas niveles de
clasificación, sean utilizados en forma simultanea.
No todo el personal que tiene acceso al sistema tiene la
aprobación ni la necesidad de conocer para toda la
información dentro del sistema.
Tema 3. Arquitectura y Diseño de Seguridad
Modos de Seguridad
Compartmentalized Security Mode (Partitioned)
1 Arquitectura de Computadoras
2 Mecanismos de Protección
3 Modos de Seguridad
Antecedentes
Dedicated Security Mode
System High Security Mode
Multi-Level Security Mode (MLS)
Compartmentalized Security Mode (Partitioned)
4 Modelos de Seguridad
5 Guı́as de Evaluación
6 Certificación y Acreditación
Tema 3. Arquitectura y Diseño de Seguridad
Modos de Seguridad
Compartmentalized Security Mode (Partitioned)
Definición
Compartmentalized Security Mode (Partitioned)
Un sistema se encuentra operando en Compartmented Security
Mode, cuando todos los usuarios tienen autorización respecto de la
totalidad de la información procesada por el sistema, pero no todos
tienen la need-to-know.
En este modo, se establecen restricciones de acceso a los
usuarios, sobre la porción de información para la que no existe
need-to-know. De esta forma, los usuarios terminan
accediendo únicamente a un segmento, partición o
compartment de datos.
En un sistema acorde al Compartmentalized Security Mode,
algunos necesitan conocer la información, otros no.
Los usuarios del sistema deben cumplir con los requerimientos
para el área o partición a la que desean acceder.
Tema 3. Arquitectura y Diseño de Seguridad
Modelos de Seguridad
1 Arquitectura de Computadoras
2 Mecanismos de Protección
3 Modos de Seguridad
4 Modelos de Seguridad
Introducción
Bell-LaPadula
Biba
Clark & Wilson
Otros Modelos
5 Guı́as de Evaluación
6 Certificación y Acreditación
Tema 3. Arquitectura y Diseño de Seguridad
Modelos de Seguridad
Introducción
1 Arquitectura de Computadoras
2 Mecanismos de Protección
3 Modos de Seguridad
4 Modelos de Seguridad
Introducción
Bell-LaPadula
Biba
Clark & Wilson
Otros Modelos
5 Guı́as de Evaluación
6 Certificación y Acreditación
Tema 3. Arquitectura y Diseño de Seguridad
Modelos de Seguridad
Introducción
Caracterı́sticas
“Los modelos de seguridad son un concepto importante en el
análisis y diseño de sistemas de computo seguro”
.
Provee un framework dentro del cual puede ser
implementada una polı́tica de seguridad.
Define los lineamientos necesarios para implementar y
soportar la polı́tica de seguridad.
Provee los lineamientos y directivas que deben cumplir los
desarrollos de hardware y software, motivo por el cual solemos
referirnos a estos como la representación simbólica de una
polı́tica de seguridad en un conjunto de reglas que pueden ser
seguidas por una computadora.
Tema 3. Arquitectura y Diseño de Seguridad
Modelos de Seguridad
Introducción
Polı́tica vs Modelo de Seguridad
Mientras que una polı́tica de seguridad es generalmente un
conjunto de directivas o intenciones abstractas, un modelo de
seguridad representa exactamente el modo en el cual la polı́tica
deberı́a ser implementada.
Las polı́ticas de seguridad proveen los objetivos abstractos y el
modelo de seguridad provee las reglas necesarias para cumplir con
dichos objetivos.
Tema 3. Arquitectura y Diseño de Seguridad
Modelos de Seguridad
Introducción
Implementación
En la actualidad, los modelos formales de seguridad han quedado
algo relegados respecto de la cambiante dinámica de negocios con
la cual convivimos a diario.
Siendo rigoristas, si bien los mismos aún permiten establecer
parámetros generales, a nivel práctico solo pueden ser
implementados parcialmente.
Conceptos tales como: Firewall, Troyanos o Worms, no se
encuentran contemplados en los denominados modelos formales
Tema 3. Arquitectura y Diseño de Seguridad
Modelos de Seguridad
Bell-LaPadula
1 Arquitectura de Computadoras
2 Mecanismos de Protección
3 Modos de Seguridad
4 Modelos de Seguridad
Introducción
Bell-LaPadula
Biba
Clark & Wilson
Otros Modelos
5 Guı́as de Evaluación
6 Certificación y Acreditación
Tema 3. Arquitectura y Diseño de Seguridad
Modelos de Seguridad
Bell-LaPadula
Introducción
Descripción formal de los flujos de información permitidos
dentro de un sistema seguro.
Se utiliza para definir requerimientos de seguridad para
sistemas que deben administrar datos a diferentes niveles de
sensitividad.
*-Property (propiedad estrella) – previene el write-down,
Sujetos pertenecientes a niveles de acceso superiores no
pueden escribir información en objetos de niveles de
sensibilizad inferiores. Evita el filtrado de información sensitiva
a niveles menos seguros.
Tema 3. Arquitectura y Diseño de Seguridad
Modelos de Seguridad
Bell-LaPadula
Modo de Operación
Tema 3. Arquitectura y Diseño de Seguridad
Modelos de Seguridad
Bell-LaPadula
Caracterı́sticas
El modelo define un estado seguro (secure state)
El acceso entre sujetos y objetos respeta una polı́tica de
seguridad especı́fica.
TCSEC es una implantación de Bell-LaPadula
Solo aplica a la sensibilizad (nivel de confidencialidad/secreto)
de la información.
Tal vez el modelo mas representativo respecto de
ambientes militares.
Tema 3. Arquitectura y Diseño de Seguridad
Modelos de Seguridad
Bell-LaPadula
Resumen
Bell-Lapadula
Orientado a mantener la confidencialidad.
Reglas de Operación:
simple-rule (no read up) = espionaje
*-rule (no write down) = divulgación
strong-*-rule : si se posee la capacidad de read y write sólo se
pueden realizar estas funciones en el mismo nivel.
Tema 3. Arquitectura y Diseño de Seguridad
Modelos de Seguridad
Biba
1 Arquitectura de Computadoras
2 Mecanismos de Protección
3 Modos de Seguridad
4 Modelos de Seguridad
Introducción
Bell-LaPadula
Biba
Clark & Wilson
Otros Modelos
5 Guı́as de Evaluación
6 Certificación y Acreditación
Tema 3. Arquitectura y Diseño de Seguridad
Modelos de Seguridad
Biba
Introducción
El modelo Biba cubre niveles de integridad, los cuales son
análogos a los niveles de sensitividad del modelo
Bell-LaPadula.
Los niveles de integridad cubren la modificación impropia de
datos.
Tal vez el modelo mas representativo respecto de
ambientes comerciales.
Previene que usuarios no autorizados realicen modificaciones
(1er objetivo de integridad)
Modelo Read Up, Write Down
Los sujetos no pueden leer objetos de integridad inferior, y no
pueden escribir objetos de integridad superior.
Tema 3. Arquitectura y Diseño de Seguridad
Modelos de Seguridad
Biba
Modo de Operación
Tema 3. Arquitectura y Diseño de Seguridad
Modelos de Seguridad
Biba
Resumen
Biba
Orientado a asegurar la Integridad
Reglas de Operación:
simple-rule: no read down = evitar las fuentes dudosas.
*-rule: no write up = no contaminar otros documentos.
Tema 3. Arquitectura y Diseño de Seguridad
Modelos de Seguridad
Clark & Wilson
1 Arquitectura de Computadoras
2 Mecanismos de Protección
3 Modos de Seguridad
4 Modelos de Seguridad
Introducción
Bell-LaPadula
Biba
Clark & Wilson
Otros Modelos
5 Guı́as de Evaluación
6 Certificación y Acreditación
Tema 3. Arquitectura y Diseño de Seguridad
Modelos de Seguridad
Clark & Wilson
Introducción
Al igual que Biba, este modelo se encuentra orientado a
proteger la integridad de la información.
Cumple con los principales objetivos de un modelo de
integridad:
Previene las modificaciones por parte de usuarios no
autorizados. (T – Tamper).
Previene que usuarios autorizados realicen modificaciones
impropias.
Mantiene la consistencia interna y externa. (C – Consistencia)
Refuerza el concepto de auditoria.
Todas las las modificaciones deben ser registradas (L - Logged)
Tema 3. Arquitectura y Diseño de Seguridad
Modelos de Seguridad
Clark & Wilson
Well Formed Transactions
Propone “Well Formed Transactions”
Una WFT no es mas que una serie de operaciones que
permiten la transferencia de datos de un estado seguro a otro
estado seguro.
Algunos de los principios relacionados con WFT son:
Ejecución de tareas en forma ordenada.
Ejecución exacta de las tareas definidas.
Autenticación de los individuos que ejecutan las tareas.
El modelo Clark & Wilson, incorpora la separación de tareas
(separation of duties) dentro de la arquitectura de una
aplicación. Es decir, provee las reglas que los desarrolladores
deben seguir a efectos de reforzar este principio a través de
procedimientos de software.
Tema 3. Arquitectura y Diseño de Seguridad
Modelos de Seguridad
Clark & Wilson
Modo de Operación
Tema 3. Arquitectura y Diseño de Seguridad
Modelos de Seguridad
Clark & Wilson
Resumen
Biba
Orientado a asegurar la Integridad
Conceptos Clave:
Access Triple = Subject -> Application (SW)-> Object
Auditing = Aplicación logueando accesos
Separation of Duties = Separación de tareas.
Tema 3. Arquitectura y Diseño de Seguridad
Modelos de Seguridad
Otros Modelos
1 Arquitectura de Computadoras
2 Mecanismos de Protección
3 Modos de Seguridad
4 Modelos de Seguridad
Introducción
Bell-LaPadula
Biba
Clark & Wilson
Otros Modelos
5 Guı́as de Evaluación
6 Certificación y Acreditación
Tema 3. Arquitectura y Diseño de Seguridad
Modelos de Seguridad
Otros Modelos
Modelo de máquina de estados(State Machine Model)
Definición
Modelo matemático abstracto que se compone de variables de
estado y funciones de transición entre estados.
La mayorı́a de los modelos formales de seguridad, incluyendo
Bell-LaPadula y Biba, se consideran derivados de este
modelo.
Tema 3. Arquitectura y Diseño de Seguridad
Modelos de Seguridad
Otros Modelos
Modelo de flujo de información (Information Flow Model)
Definición
Simplifica el análisis de covert channels. Cuando Information Flow
Model es utilizado, un sistema es seguro si todo flujo de
información ilegal no es permitido.
Bell-LaPadula es un modelo de IF que asegura que la
información no pueda fluir de un compartimiento a otro en
forma que afecte la confidencialidad. Biba define
compartimientos de datos basado en niveles de integridad,
implementando de este modo, un modelo de IF que proteja la
integridad de la información mas confiable.
Tema 3. Arquitectura y Diseño de Seguridad
Modelos de Seguridad
Otros Modelos
Modelo de no-interferencia
Definición
Cubre aquellos casos en los que se necesita prevenir que sujetos
que operan en un determinado dominio puedan afectarse entre sı́
violando la polı́tica de seguridad (Actividades realizadas sobre un
nivel de seguridad no deberı́an afectar o ser vistas, por sujetos u
objetos en un nivel de seguridad diferente).
De utilización tı́pica en sistemas multi-nivel.
Su principal propósito no es otro que el de combatir ataques
de inferencia y de covert channels.
Tema 3. Arquitectura y Diseño de Seguridad
Modelos de Seguridad
Otros Modelos
Modelo de Matriz de Accesos(Access Matrix Model)
Definición
Es un modelo de máquina de estados aplicado a un ambiente DAC
(Discretionary Access Control). Decisiones de acceso, son basadas
en ACLs de objetos y tablas de capacidades del sujeto.
Tema 3. Arquitectura y Diseño de Seguridad
Guı́as de Evaluación
1 Arquitectura de Computadoras
2 Mecanismos de Protección
3 Modos de Seguridad
4 Modelos de Seguridad
5 Guı́as de Evaluación
Introducción
TCSEC
ITSEC
CC
6 Certificación y Acreditación
Tema 3. Arquitectura y Diseño de Seguridad
Guı́as de Evaluación
Introducción
1 Arquitectura de Computadoras
2 Mecanismos de Protección
3 Modos de Seguridad
4 Modelos de Seguridad
5 Guı́as de Evaluación
Introducción
TCSEC
ITSEC
CC
6 Certificación y Acreditación
Tema 3. Arquitectura y Diseño de Seguridad
Guı́as de Evaluación
Introducción
Antecedentes
El proceso de determinar cuan seguro es un sistema puede ser
una tarea difı́cil.
Las organizaciones necesitan métodos para evaluar el grado de
seguridad otorgado por tal o cual sistema, y de este modo
determinar si el mismo resuelve los requisitos impuestos por la
polı́tica de seguridad implementada.
Una guı́a de evaluación, deberı́a ser lo suficientemente general
en sus principios, de modo tal que la misma sirva a los efectos
de comparar diferentes tipos de sistemas y otorgar a los
mismos una clasificación de acuerdo al nivel de seguridad que
presentan.
Tema 3. Arquitectura y Diseño de Seguridad
Guı́as de Evaluación
Introducción
Antecedentes
Inicialmente, el concepto detrás de la confección de una Guı́a
de Evaluación, se encuentra ı́ntimamente relacionado con la
necesidad por parte de las agencias de seguridad, el gobierno,
y las organizaciones privadas, de conocer el nivel o grado de
seguridad, existente en los diferentes sistemas, aplicaciones o
productos al momento de efectuar una compra o contratación.
Tema 3. Arquitectura y Diseño de Seguridad
Guı́as de Evaluación
TCSEC
1 Arquitectura de Computadoras
2 Mecanismos de Protección
3 Modos de Seguridad
4 Modelos de Seguridad
5 Guı́as de Evaluación
Introducción
TCSEC
ITSEC
CC
6 Certificación y Acreditación
Tema 3. Arquitectura y Diseño de Seguridad
Guı́as de Evaluación
TCSEC
Trusted Computer Systems Evaluation Criteria
En 1985 el “National Computer Security Center” (NCSC),
desarrolla para el “Departamento de Defensa de los EEUU”
(DoD), un conjunto de estándares, los cuales resultan en la
creación de TCSEC (Trusted Computer System Evaluation
Criteria).
El principal objetivo detrás de la creación de TCSEC es el de
proveer al gobierno y entidades relacionadas, con un guı́a que
les permitiera evaluar los productos ofrecidos por los
diferentes proveedores, para cada uno de los criterios de
seguridad especificados.
Tema 3. Arquitectura y Diseño de Seguridad
Guı́as de Evaluación
TCSEC
Trusted Computer Systems Evaluation Criteria
TCSEC == “Orange Book”
TCSEC provee:
Una base para establecer requisitos de seguridad en las
especificaciones de adquisición.
Un estándar de los servicios de seguridad que deben ser
proporcionados por los vendedores para los diferentes criterios
de seguridad existentes.
Una forma de medir la seguridad de un sistema de información.
TCSEC direcciona confidencialidad. No integridad. La
funcionalidad de los mecanismos de seguridad y el Assurance
de los mismos, NO son evaluados en forma separada.
Tema 3. Arquitectura y Diseño de Seguridad
Guı́as de Evaluación
TCSEC
Trusted Computer Systems Evaluation Criteria
D - Minimal protection
C - Discretionary Protection
C1 – Usuarios cooperativos que pueden proteger su propia
información
C2 – DAC más granular, se puede auditar al usuario/ proceso
individualmente (individual accountability)
B - Mandatory Protection (Bell-LaPadula, RM, Security
Labels Requeridas)
B1 Labeled Security Protection (Process Isolation!)
B2 Structured Protection (Covert Channels!)
B3 Security Domains
A - Verified Protection (Direcciona seguridad a nivel Top
Secret)
A1 Verified Design
Tema 3. Arquitectura y Diseño de Seguridad
Guı́as de Evaluación
ITSEC
1 Arquitectura de Computadoras
2 Mecanismos de Protección
3 Modos de Seguridad
4 Modelos de Seguridad
5 Guı́as de Evaluación
Introducción
TCSEC
ITSEC
CC
6 Certificación y Acreditación
Tema 3. Arquitectura y Diseño de Seguridad
Guı́as de Evaluación
ITSEC
Information Technology Security Evaluation Criteria
Desarrollado en Europa como estándar único de evaluación de
la seguridad en sistemas.
Evalúa Funcionalidad y Seguridad (Assurance) en forma
separada.
Effectiveness = Hacen lo que se espera que haga.
Correctiveness = Que tan correcto es el proceso por el cual lo
hacen.
Clasificaciones por:
F1-F10 Niveles de Funcionalidad.
E0-E6 Niveles de Assurance.
ITSEC direcciona Integridad, Disponibilidad y
Confidencialidad.
ITSEC se ocupa de evaluar sistemas en red mietras que
TCSEC solo hace lo propio con sistemas stand-alone.
Tema 3. Arquitectura y Diseño de Seguridad
Guı́as de Evaluación
CC
1 Arquitectura de Computadoras
2 Mecanismos de Protección
3 Modos de Seguridad
4 Modelos de Seguridad
5 Guı́as de Evaluación
Introducción
TCSEC
ITSEC
CC
6 Certificación y Acreditación
Tema 3. Arquitectura y Diseño de Seguridad
Guı́as de Evaluación
CC
Common Criteria (CC)
Creado por el ISO en 1993.
Creado a partir de TCSEC, ITSEC, Canadian Trusted.
Computer Product Evaluation Criteria (CTCPEC) y el Federal
Criteria.
Provee mas flexibilidad que TCSEC e ITSEC.
Tema 3. Arquitectura y Diseño de Seguridad
Guı́as de Evaluación
CC
Componentes del Common Criteria (CC)
Protection Profile (PP)
Descripción de las necesidades de seguridad de un producto.
Target of Evaluation (TOE)
Producto que se propone evaluar.
Security Target (ST)
Descripción escrita por el proveedor explicando las
funcionalidades de seguridad (que hace?) y mecanismos de
assurance que cumplen los requerimientos de seguridad (como
lo hace?).
Packages – Evaluation Assurance Levels (EAL)
Los requerimientos Funcionales (definen el comportamiento del
producto relacionado con la seguridad) y de Assurance
(establece el nivel de confianza en el producto) son reunidos en
paquetes para ser reutilizados.
Describen los requisitos a cumplir para alcanzar cada nivel EAL
especı́fico.
Tema 3. Arquitectura y Diseño de Seguridad
Guı́as de Evaluación
CC
Package Ratings – Evaluations Ratings
1
Basic Assurance
EAL
EAL
EAL
EAL
2
1
2
3
4
Functionally tested
Structurally tested
Methodically tested and checked
Methodically designed, tested and reviewed
Medium Assurance
EAL 5 Semiformally designed and tested
3
High Assurance
EAL 6 Semiformally verified design and tested
EAL 7 Formally verified design and tested
Tema 3. Arquitectura y Diseño de Seguridad
Certificación y Acreditación
1 Arquitectura de Computadoras
2 Mecanismos de Protección
3 Modos de Seguridad
4 Modelos de Seguridad
5 Guı́as de Evaluación
6 Certificación y Acreditación
Introducción
7 Amenazas y Ataques
Tema 3. Arquitectura y Diseño de Seguridad
Certificación y Acreditación
Introducción
1 Arquitectura de Computadoras
2 Mecanismos de Protección
3 Modos de Seguridad
4 Modelos de Seguridad
5 Guı́as de Evaluación
6 Certificación y Acreditación
Introducción
7 Amenazas y Ataques
Tema 3. Arquitectura y Diseño de Seguridad
Certificación y Acreditación
Introducción
Definiciones
Procedimientos y Juicios que determinan si un sistema se
encuentra en condiciones para operar en un ambiente
operativo determinado (suitability).
La certificación considera al sistema dentro del ambiente
operativo.
La acreditación refiere a la decisión oficial de la gerencia
relacionada con la operación del sistema en el ambiente
especificado.
Tema 3. Arquitectura y Diseño de Seguridad
Certificación y Acreditación
Introducción
Definiciones
Certificación
Evaluación técnica mediante la cual se revisan los mecanismos y
controles de seguridad, con el objeto de evaluar su efectividad.
Acreditación
Aceptación oficial de los resultados de una certificación.
Tema 3. Arquitectura y Diseño de Seguridad
Amenazas y Ataques
1 Arquitectura de Computadoras
2 Mecanismos de Protección
3 Modos de Seguridad
4 Modelos de Seguridad
5 Guı́as de Evaluación
6 Certificación y Acreditación
7 Amenazas y Ataques
Amenazas
Tema 3. Arquitectura y Diseño de Seguridad
Amenazas y Ataques
Amenazas
1 Arquitectura de Computadoras
2 Mecanismos de Protección
3 Modos de Seguridad
4 Modelos de Seguridad
5 Guı́as de Evaluación
6 Certificación y Acreditación
7 Amenazas y Ataques
Amenazas
Tema 3. Arquitectura y Diseño de Seguridad
Amenazas y Ataques
Amenazas
Covert Channels
Definición
Un canal de comunicación que permite la transferencia de
información entre dos procesos violando la polı́tica de seguridad del
sistema.
Producto de:
Descuido en el desarrollo del producto.
Implementación no apropiada de control de acceso.
Existencia de un recurso compartido entre dos entidades.
Instalación de un Caballo de Troya.
Covert Storage Channel involucra uso de memoria
compartida entre los dos procesos.
Covert Timing Channel involucra la modulación del uso de
un recurso del sistema (por ejemplo CPU).
Tema 3. Arquitectura y Diseño de Seguridad
Amenazas y Ataques
Amenazas
Timing Attacks / Asynchronous Attacks
Buscan tomar ventaja en el paso del tiempo entre dos eventos
diferentes.
Time of Check / Time of Use (TOC/TOU)
El ataque ocurre por ejemplo, entre el momento en el que se
revisa un archivo determinado y el momento en que se lo
utiliza.
Un usuario se logue en el sistema por la mañana y es
despedido por la tarde. Por seguridad, el administrador
remueve el usuario de la base de datos, pero si el usuario en
cuestión no es obligado a hacer el log off, aun podrá seguir
accediendo por algún tiempo a los recursos de la compañı́a.
Tema 3. Arquitectura y Diseño de Seguridad
Amenazas y Ataques
Amenazas
Radiación Electromagnética
Simplemente debido a las clases de componentes electrónicos
con los cuales se construyen, muchos dispositivos de hardware
emiten radiación electromagnética durante su operación.
En ciertas circunstancias estas emanaciones pueden ser
interceptadas y las secuencias de teclado reconstruidas.
También es posible detectar y leer paquetes de red en forma
pasiva, a lo largo de un segmento de la red.
Tema 3. Arquitectura y Diseño de Seguridad
Referencias bibliográficas
Referencias bibliográficas I
S Harris.
CISSP Certification All-in-One Exam Guide, Fourth Edition.
McGraw-Hill Osborne Media; 4 edition (November 9, 2007).
Descargar