Story Transcript
Arquitectura y Modelos de Seguridad
Arquitectura y Modelos de Seguridad Seguridad en Inform´atica
Francisco Medina L´ opez Facultad de Contadur´ıa y Administraci´ on Universidad Nacional Aut´ onoma de M´ exico
20 de septiembre de 2011
Arquitectura y Modelos de Seguridad Agenda
1
Arquitectura de Computadoras
2
Mecanismos de Protecci´ on
3
Modos de Seguridad
4
Modelos de Seguridad
5
Gu´ıas de Evaluaci´on
6
Certificaci´on y Acreditaci´ on
7
Amenazas y Ataques
Arquitectura y Modelos de Seguridad Arquitectura de Computadoras
1
Arquitectura de Computadoras Introducci´on Hardware Firmware Software
2
Mecanismos de Protecci´ on
3
Modos de Seguridad
4
Modelos de Seguridad
5
Gu´ıas de Evaluaci´on
6
Certificaci´on y Acreditaci´ on
Arquitectura y Modelos de Seguridad Arquitectura de Computadoras Introducci´ on
1
Arquitectura de Computadoras Introducci´on Hardware Firmware Software
2
Mecanismos de Protecci´ on
3
Modos de Seguridad
4
Modelos de Seguridad
5
Gu´ıas de Evaluaci´on
6
Certificaci´on y Acreditaci´ on
Arquitectura y Modelos de Seguridad Arquitectura de Computadoras Introducci´ on
Arquitectura y Sistema de C´omputo Arquitectura de Computadoras Disciplina de la Ingenier´ıa, relacionada con el dise˜ no y la construcci´on de sistemas de c´ omputo a nivel l´ ogico.
Arquitectura de C´omputo Comprende la estructura de un sistema de c´ omputo.
Sistema de C´omputo Conjunto formado por hardware, firmware, software, medios de almacenamiento, datos o informaci´ on y personas involucradas.
Arquitectura y Modelos de Seguridad Arquitectura de Computadoras Introducci´ on
Arquitectura de Computadoras La Arquitectura de Computadoras comprende todas y cada una de las partes necesarias para que un sistema de computo funcione, esto incluye: Sistema Operativo Chips de Memoria Circuitos Discos Duros Componentes de Seguridad Conexiones Bus Componentes de Red Etc.
Arquitectura y Modelos de Seguridad Arquitectura de Computadoras Introducci´ on
Computadora vs Servidor
Computadora M´aquina digital programable.
Servidor En una red cliente/servidor, son los equipos que proveen informaci´on (datos) y servicios (impresi´ on de documentos, transferencia de archivos, correo electr´ onico,...) a las estaciones de trabajo (clientes).
Arquitectura y Modelos de Seguridad Arquitectura de Computadoras Hardware
1
Arquitectura de Computadoras Introducci´on Hardware Firmware Software
2
Mecanismos de Protecci´ on
3
Modos de Seguridad
4
Modelos de Seguridad
5
Gu´ıas de Evaluaci´on
6
Certificaci´on y Acreditaci´ on
Arquitectura y Modelos de Seguridad Arquitectura de Computadoras Hardware
Hardware Definici´on Conjunto de componentes tangibles (o f´ısicos) de una computadora. a a
http://www.carlospes.com/minidiccionario/hardware.php
Componentes principales de la plataforma de hardware en la Arquitectura de Computadoras: CPU (Unidad Central de Procesamiento) Memoria Bus de conexiones Dispositivos de Entrada/ Salida (I/O) Dispositivos de Almacenamiento
Arquitectura y Modelos de Seguridad Arquitectura de Computadoras Hardware
CPU Unidad Central de Proceso (CPU) Tambi´en conocido como procesador, es el componente en una computadora digital que interpreta las instrucciones y procesa los datos contenidos en los programas de la computadora. a a
http://es.wikipedia.org/wiki/Unidad_central_de_procesamiento
Contiene: 1
Almacenamiento primario (Registros)
2
Unidad de Control (UC)
3
Unidad de Aritm´ etico L´ ogica (ALU)
4
Unidad de Administraci´ on de Memoria (MMU)
Arquitectura y Modelos de Seguridad Arquitectura de Computadoras Hardware
Componentes principales del CPU 1
Almacenamiento primario Registros1 que almacenan instrucciones y datos que van a ser procesados
2
Unidad de Control Coordina la actividad durante la ejecuci´ on de instrucciones de un programa No procesa datos, solo controla los procesos que se est´an ejecutando
3
Unidad de Aritm´ etico L´ ogica Realiza operaciones matem´aticas y l´ ogicas
4
MMU Manipula direcciones y cat´alogos de datos almacenados en memoria adem´as de convertir las direcciones l´ogicas en f´ısicas
1
Memoria intermedia
Arquitectura y Modelos de Seguridad Arquitectura de Computadoras Hardware
Caracter´ısticas principales de un Procesador
Reducido SET de instrucciones MIPS (Millones de Instrucciones por Segundo)
Arquitectura y Modelos de Seguridad Arquitectura de Computadoras Hardware
Estructura interna de un Procesador
UC (Unidad de Control): La Unidad de Control es la encargada de gestionar y controlar el correcto funcionamiento de la Unidad de Proceso, indicando cuando una instrucci´ on debe ser enviada al procesador. La UC no procesa datos, tan solo act´ ua como agente de tr´ ansito. UP (Unidad de Proceso): Formada por componentes tales como: la ALU, Registros, y buses. ALU (Unidad Aritm´ etico-L´ ogica): Encargada de llevar a cabo funciones matem´ aticas y operaciones l´ ogicas. Registros: Almacenan datos durante cierto tiempo, dentro la CPU. Bus: Conjunto de circuitos y conectores
”Podr´ıamos decir que la ALU es el cerebro del procesador, y el procesador el cerebro de la computadora.”
Arquitectura y Modelos de Seguridad Arquitectura de Computadoras Hardware
Operaci´on B´asica de un Procesador
La operaci´on de un procesador consiste b´asicamente en dos fases: obtener (fetch) y ejecutar (execute). Durante la fase de obtenci´ on, la CPU localiza y recupera las instrucciones de memoria. Durante la fase de ejecuci´ on, la CPU decodifica y ejecuta las instrucciones.
Estas dos fases componen lo que se llama ciclo de reloj (clock singals). A los programas ejecutados por el procesador se llaman procesos.
Arquitectura y Modelos de Seguridad Arquitectura de Computadoras Hardware
Estados del procesador
La CPU, se encuentra siempre en alguno de los siguientes estados principales: User State En este estado, solo pueden ser ejecutadas instrucciones no- privilegiadas. Supervisor State / Privileged Mode En este estado, pueden ser ejecutadas tanto instrucciones no-privilegiadas como privilegiadas.
Arquitectura y Modelos de Seguridad Arquitectura de Computadoras Hardware
Procesos Un proceso es un programa en ejecuci´ on, el cual se encuentra compuesto de c´odigo ejecutable, datos e informaci´on relativa su ejecuci´on. Un proceso trabaja en su propio espacio de direcciones y puede comunicarse con otros procesos, solo a trav´es de pasos autorizados por el sistema operativo. Los “estados de un proceso” no es lo mismo que los “estados de la CPU”. Mientras que los “estados de la CPU” define el modo operativo de la CPU, los “estados de un proceso” se refiere al modo en que los procesos se encuentran corriendo dentro de esta. El estado de los procesos o “Process State”, es particular de cada sistema operativo. Ready, Waiting, Running y Stopped son solo algunos de los estados mas com´ unmente encontrados.
Arquitectura y Modelos de Seguridad Arquitectura de Computadoras Hardware
Procesos vs Hilos
Un proceso es un programa en ejecuci´ on que posee su propio espacio de trabajo, y solo puede comunicarse con otro proceso de modo controlado. Un Thread en cambio, representa una pieza de c´ odigo que esta siendo ejecutada dentro de un proceso. Un proceso puede incluir uno o mas Threads.
Arquitectura y Modelos de Seguridad Arquitectura de Computadoras Hardware
Estados de un proceso Detenido El proceso no se encuentra en ejecuci´ on Pudo haber sido detenido por el sistema operativo o un usuario
En espera El proceso se encuentra esperando por una interrupci´on (generalmente de IO) que le permita ser de nuevo procesado por la CPU Estas interrupciones permiten compartir el tiempo de procesamiento de la CPU
En ejecuci´ on Las instrucciones del proceso est´an siendo ejecutadas por la CPU Se le conoce tambi´en como tiempo de ejecuci´on
Listo El proceso listo para ser utilizado y a la espera de una instrucci´ on
Arquitectura y Modelos de Seguridad Arquitectura de Computadoras Hardware
Estados de un proceso
Arquitectura y Modelos de Seguridad Arquitectura de Computadoras Hardware
Dise˜nos de CPU Actualmente existen dos tipos de dise˜ nos ampliamente extendidos: Complex-Instruction-Set-Computing (CISC): Conjunto de instrucciones que se caracteriza por ser muy amplio y permitir operaciones complejas entre operandos situados en la memoria o en los registros internos Reduced-Instruction-Set-Computing (RISC): Filosof´ıa de dise˜ no de CPU que est´a a favor de conjuntos de instrucciones peque˜ nas y simples que toman menor tiempo para ejecutarse. Cuando se ejecuta un programa dif´ıcil, o extenso, los CISC son m´as r´apidos y eficaces que los RISC. En cambio cuando se tiene en ejecuci´on un conjunto de instrucciones sencillas, cortas y simples, los RISC son m´as r´apidos.
Arquitectura y Modelos de Seguridad Arquitectura de Computadoras Hardware
Caracter´ısticas de la CPU
Scalar Processor: Procesador que ejecuta una instrucci´on por vez. Superscalar Processor: Procesador que permite la ejecuci´on de varias instrucciones en la misma etapa del pipeline, como as´ı tambi´en en diferentes etapas de pipeline. (IBM RS/6000) Multitasking: Ejecuci´ on de dos o mas tareas al mismo tiempo utilizando un solo CPU. Coordinado por el SO (Windows 2000, Linux, OS/3
Arquitectura y Modelos de Seguridad Arquitectura de Computadoras Hardware
Caracter´ısticas de la CPU (II)
Multiprogramming: Ejecuci´ on simult´anea de dos o m´as programas utilizando un solo CPU. A diferencia de lo que ocurre con Multitasking, cuya implementaci´ on suele encontrarse en sistemas operativos de PC tales como Linux y Windows, Multiprogramming suele encontrarse generalmente en mainframes o sistemas legacy.2 Multitasking es normalmente coordinado por el sistema operativo, mientras que Multiprogramming requiere que el software se encuentre especialmente escrito para coordinar sus propias acciones a trav´es del sistema operativo.
2 Un sistema heredado (o sistema legacy) es un sistema inform´ atico (equipos inform´ aticos y/o aplicaciones) que ha quedado anticuado pero contin´ ua siendo utilizado por el usuario (t´ıpicamente una organizaci´ on o empresa) y no se quiere o no se puede reemplazar o actualizar de forma sencilla.
Arquitectura y Modelos de Seguridad Arquitectura de Computadoras Hardware
Caracter´ısticas de la CPU (III)
Multiprocessing: Ejecuci´ on simult´anea de dos o m´as programas en m´ ultiples CPUs. SMP (Symmetric Multiprocessing) Una computadora, con mas de un procesador, controlado por un solo sistema operativo (Bus de Datos y Memoria Compartidos). MPP (Massively Parallel Processing) Cientos o miles de procesadores, cada uno de los cuales utiliza su propio juego de recursos (sistema operativo, bus de datos y memoria).
Arquitectura y Modelos de Seguridad Arquitectura de Computadoras Hardware
Caracter´ısticas de la CPU (IV)
Multithreading: Ejecuci´ on de m´ ultiples tareas al mismo tiempo utilizando un solo CPU. A diferencia de lo que ocurre con Multitasking donde las diferentes tareas ocupan diferentes “procesos”, Multithreading permite ejecutar varias tareas en un solo “proceso”. Quiz´as un buen ejemplo de Multithreading, sea cuando abrimos varios documentos de Word, lo cual no genera m´ ultiples instancias de Word, precisamente porque todas ellas corren en un solo proceso utilizando diferentes hilos.
Arquitectura y Modelos de Seguridad Arquitectura de Computadoras Hardware
Memorias Cache Flash Memory RAM (Random Access Memory) Dynamic Random Access Memory (DRAM) Extended Data Output RAM (EDO RAM) Synchronous DRAM (SDRAM) Double Data Rate SDRAM (DDR SDRAM) Burst Extended Data Output DRAM (BEDO DRAM)
ROM (Read Only Memory) Programmable Read Only Memory (PROM) Erasable Programmable Read-Only Memory (EPROM) Electrically Erasable Programmable Read-Only Memory (EEPROM)
Arquitectura y Modelos de Seguridad Arquitectura de Computadoras Hardware
Memorias (II) Memoria Primaria (Real Memory – Primary Storage) Directamente accesible por la CPU y frecuentemente utilizada al momento de almacenar datos e instrucciones asociados con el programa que se encuentra en ejecuci´ on. Generalmente RAM. Memoria Secundaria (Secondary Storage) Almacenamiento no vol´atil, mas lento que la memoria primaria. Ejemplo: Discos Duros, CDs, DVDs, Floppys. Memoria Virtual (Virtual Memory – Virtual Storage) Combinaci´on de memoria primaria y secundaria. Define un u ´nico espacio de direccionamiento. Habilidad para extender el tama˜ no aparente de la memoria RAM usando parte del disco r´ıgido. (Swapping / Paging)
Arquitectura y Modelos de Seguridad Arquitectura de Computadoras Hardware
Jerarqu´ıa de acceso a memoria
Arquitectura y Modelos de Seguridad Arquitectura de Computadoras Hardware
Direccionamiento de Memoria
Cuando se utilizan recursos de memoria, el procesador debe tener alguna forma de referirse a los diferentes lugares existentes dentro de ella. La soluci´ on a este problema, se conoce como “Direccionamiento” por su termino en ingles “Addressing”. Tipos: Por Registro (Register Addressing) Directo (Direct Addressing) Absoluto (Absolute Addressing) Indexado (Indexed Addressing) Impl´ıcito (Implied Addressing) Indirecto (Indirect Addressing)
Arquitectura y Modelos de Seguridad Arquitectura de Computadoras Hardware
Protecci´on de Memoria Previene el acceso de un programa al espacio de memoria reservado para otro programa Se implanta a nivel de sistema operativo o hardware
Arquitectura y Modelos de Seguridad Arquitectura de Computadoras Hardware
Estructura de E/S
Input/Output (I/O) interface adapters: Permiten la comunicaci´on entre el procesador y los dispositivos externos Memory-Mapped I/O: Se otorga una direcci´on de memoria “central” al dispositivo Isolated I/O: Una se˜ nal especial en el bus de comunicaci´on indica la ejecuci´ on de una operaci´ on de I/O. No utiliza memoria “central” Direct Memory Access (DMA): Data es transferida en forma directa desde y hacia la memoria, no requiere del CPU Interrupt Processing: Una se˜ nal externa interrumpe el flujo normal del programa para requerir servicio
Arquitectura y Modelos de Seguridad Arquitectura de Computadoras Hardware
Bus
Bus: Circuitos impresos (o bien cables) que transmiten los datos del procesador. de transmisi´ on de datos: l´ıneas f´ısicas por d´onde circulan los datos que se han le´ıdo o que se van a escribir (entrada/salida). de direcciones: l´ıneas f´ısicas por d´ onde circulan las direcciones de memoria desde d´ onde se leer´an (entrada), o se escribir´an (salida), los datos. de control: l´ıneas f´ısicas por d´ onde circulan las ´ordenes de control (entrada/salida).
Arquitectura y Modelos de Seguridad Arquitectura de Computadoras Firmware
1
Arquitectura de Computadoras Introducci´on Hardware Firmware Software
2
Mecanismos de Protecci´ on
3
Modos de Seguridad
4
Modelos de Seguridad
5
Gu´ıas de Evaluaci´on
6
Certificaci´on y Acreditaci´ on
Arquitectura y Modelos de Seguridad Arquitectura de Computadoras Firmware
Firmware
Definci´on Bloque de instrucciones de programa para prop´ ositos espec´ıficos, grabado en una memoria de tipo no vol´atil (ROM, EEPROM, flash,...), que establece la l´ ogica de m´as bajo nivel que controla los circuitos electr´onicos de un dispositivo de cualquier tipo. Al estar integrado en la electr´ onica del dispositivo es en parte hardware, pero tambi´en es software, ya que proporciona l´ogica y se dispone en alg´ un tipo de lenguaje de programaci´ on. 3
3
http://www.carlospes.com/minidiccionario/software.php
Arquitectura y Modelos de Seguridad Arquitectura de Computadoras Software
1
Arquitectura de Computadoras Introducci´on Hardware Firmware Software
2
Mecanismos de Protecci´ on
3
Modos de Seguridad
4
Modelos de Seguridad
5
Gu´ıas de Evaluaci´on
6
Certificaci´on y Acreditaci´ on
Arquitectura y Modelos de Seguridad Arquitectura de Computadoras Software
Definici´on
Software Conjunto de programas y datos con los que trabaja una computadora el cual es inmaterial (o l´ ogico).a a
http://www.carlospes.com/minidiccionario/software.php
Arquitectura y Modelos de Seguridad Arquitectura de Computadoras Software
Clasificaci´on del Software
1
Programas de sistema (software de sistema):controlan la operaci´on de la computadora. Compiladores Sistema Operativo
2
Programas de aplicaci´ on (software de aplicaci´on): resuelven problemas para los usuarios. RDBMS Sistemas Juegos
Arquitectura y Modelos de Seguridad Arquitectura de Computadoras Software
Sistema Operativo Sirve de intermediario (interfaz) entre los programas y la computadora. Se puede definir de dos formas ligadas a sus objetivos.
Arquitectura y Modelos de Seguridad Arquitectura de Computadoras Software
Sistema Operativo (II) Software principal de toda plataforma de computo. Este es cargado en la computadora por medio de un programa denominado Boot, nombre con el que solemos referirnos al proceso responsable de la carga del sistema operativo. Grandes computadoras o mainframes, utilizan una secuencia boot conocida como IPL (Initial Program Load). Durante toda secuencia de booteo, un peque˜ no programa es cargado en memoria, el cual una vez inicializado realiza la carga total del sistema operativo. Una vez en ejecuci´ on, el sistema operativo es el responsable de controlar varios subsistemas tales como las utilidades de software, aplicaciones, sistemas de archivos, control de acceso, etc.
Arquitectura y Modelos de Seguridad Arquitectura de Computadoras Software
Sistema Operativo (III) Todo sistema operativo persigue dos objetivos principales: Controlar el uso de los sistemas y recursos. Proveer de una interfaz entre usuario y computador (m´aquina extendida) Como administrador de recursos Es el encargado de proporcionar una asignaci´ on ordenada y controlada de los recursos (CPU, memoria y disco) para los varios programas que compiten por ellos. Como m´aquina extendida Es el encargado de presentar al usuario el equivalente de un m´aquina virtual o extendida que sea m´as f´acil de programar que el hardware subyacente.
Arquitectura y Modelos de Seguridad Arquitectura de Computadoras Software
Sistemas Abiertos y Cerrados
Los sistemas pueden ser desarrollados de forma tal de que resulte sencilla su integraci´on con otros sistemas (Open), o pueden ser desarrollados con una naturaleza mas propietaria (Closed) construidos para funcionar solo con un sub-grupo de otros sistemas o productos
Arquitectura y Modelos de Seguridad Arquitectura de Computadoras Software
Sistemas Abiertos y Cerrados (II) Sistema Abierto Aquel sistema independiente del fabricante que cumple con ciertos est´andares p´ ublicos y generalmente aceptados. Promueven la interoperabilidad y compatibilidad entre sistemas y componentes fabricados por distintos fabricantes. Pueden ser evaluados de manera independiente. Sistema Cerrado Aquel que usa hardware/software propietario que puede o no ser compatible con otros sistemas o componentes. El c´odigo fuente de los programas generalmente no esta a disposici´on del p´ ublico.
Arquitectura y Modelos de Seguridad Arquitectura de Computadoras Software
Hardware, Firmware y Software
Arquitectura y Modelos de Seguridad Mecanismos de Protecci´ on
1
Arquitectura de Computadoras
2
Mecanismos de Protecci´ on Trusted Computing Base (TCB) Monitor de Referencia Kernel de Seguridad Protection Rings Layering Data Hiding
3
Modos de Seguridad
4
Modelos de Seguridad
5
Gu´ıas de Evaluaci´on
Arquitectura y Modelos de Seguridad Mecanismos de Protecci´ on Trusted Computing Base (TCB)
1
Arquitectura de Computadoras
2
Mecanismos de Protecci´ on Trusted Computing Base (TCB) Monitor de Referencia Kernel de Seguridad Protection Rings Layering Data Hiding
3
Modos de Seguridad
4
Modelos de Seguridad
5
Gu´ıas de Evaluaci´on
Arquitectura y Modelos de Seguridad Mecanismos de Protecci´ on Trusted Computing Base (TCB)
Definiciones
Trusted Computing Base (TCB) Base segura o fiable de c´ omputo (TCB)a es la combinaci´on de todos mecanismos de protecci´ on en un sistema de c´omputo, incluyendo hardware, firmware y software, responsables de aplicar una pol´ıtica de seguridad b . a Termino acu˜ nado en el libro naranja formalmente conocido como (Trusted Computer System Evaluation Criteria (TCSEC)) b
http://www.rediris.es/cert/doc/unixsec/node36.html
Arquitectura y Modelos de Seguridad Mecanismos de Protecci´ on Monitor de Referencia
1
Arquitectura de Computadoras
2
Mecanismos de Protecci´ on Trusted Computing Base (TCB) Monitor de Referencia Kernel de Seguridad Protection Rings Layering Data Hiding
3
Modos de Seguridad
4
Modelos de Seguridad
5
Gu´ıas de Evaluaci´on
Arquitectura y Modelos de Seguridad Mecanismos de Protecci´ on Monitor de Referencia
Definiciones
Monitor de Referencia Es un modelo abstracto que define las reglas de acceso de un sujeto a un objeto. Controla el acceso de sujetos (Subject, Sujeto, Asunto, Personas) a recursos (Object, Objeto, Informaci´on). Concepto abstracto, implementado en Security Kernel.
Arquitectura y Modelos de Seguridad Mecanismos de Protecci´ on Kernel de Seguridad
1
Arquitectura de Computadoras
2
Mecanismos de Protecci´ on Trusted Computing Base (TCB) Monitor de Referencia Kernel de Seguridad Protection Rings Layering Data Hiding
3
Modos de Seguridad
4
Modelos de Seguridad
5
Gu´ıas de Evaluaci´on
Arquitectura y Modelos de Seguridad Mecanismos de Protecci´ on Kernel de Seguridad
Definiciones Kernel de Seguridad Parte del TCB que implementa y asegura el concepto del Reference Monitor. Se compone de hardware, firmware y software. Analiza todos los intentos de acceso de los sujetos a los objetos. Es responsable por mediar entre los accesos de sujetos a objetos; estar protegido de modificaciones; ser verificable como correcto. Pequerimientos para el Kernel Seguro Aislamiento del proceso. Intermediario. Imposible de esquivar. De funcionamiento verificable. Peque˜ no para ser verificado en su totalidad en forma confiable. Kernel de Windows Vista
Arquitectura y Modelos de Seguridad Mecanismos de Protecci´ on Kernel de Seguridad
Kernel Seguro
Arquitectura y Modelos de Seguridad Mecanismos de Protecci´ on Protection Rings
1
Arquitectura de Computadoras
2
Mecanismos de Protecci´ on Trusted Computing Base (TCB) Monitor de Referencia Kernel de Seguridad Protection Rings Layering Data Hiding
3
Modos de Seguridad
4
Modelos de Seguridad
5
Gu´ıas de Evaluaci´on
Arquitectura y Modelos de Seguridad Mecanismos de Protecci´ on Protection Rings
Definiciones Protection Domain Conjunto de objetos que un sujeto es capaz de acceder. Los dominios deben ser identificados, separados y asegurados. Security Perimeter L´ınea que separa el TCB del resto del sistema (Todos los elementos que se encuentra m´as all´a del control de TCB se los denomina externos al per´ımetro de seguridad). Resource Isolation Principio que dicta que sujetos, objetos y controles; deben encontrarse correctamente aislados unos de otros. Requerimiento b´asico de toda arquitectura y modelo de seguridad.
Arquitectura y Modelos de Seguridad Mecanismos de Protecci´ on Protection Rings
Protection Rings
Se organizan con el dominio mas privilegiado localizado en el anillo del centro y el de menor privilegio en el anillo mas alejado del mismo. En el anillo 0 usualmente se encuentra el “Kernel” del sistema operativo. Un sujeto en el anillo 3, no puede acceder directamente un objeto situado en el anillo 1, pero un sujeto en el anillo 1 si puede acceder directamente un objeto situado en el anillo 3. Las entidades, solo pueden acceder objetos dentro de su propio anillo o a uno superior.
Arquitectura y Modelos de Seguridad Mecanismos de Protecci´ on Protection Rings
Protection Rings (II) Anillo 0: Kernel/Memoria (Componentes Residentes) Anillo 1: Otros componentes del sistema operativo Anillo 2: Controladores, Protocoles, etc Anillo 3: Programas y Aplicaciones de Nivel Usuario Anillo 0-2: Modo supervisor o protegido Anillo 3 Se ejecuta en modo usuario
Arquitectura y Modelos de Seguridad Mecanismos de Protecci´ on Layering
1
Arquitectura de Computadoras
2
Mecanismos de Protecci´ on Trusted Computing Base (TCB) Monitor de Referencia Kernel de Seguridad Protection Rings Layering Data Hiding
3
Modos de Seguridad
4
Modelos de Seguridad
5
Gu´ıas de Evaluaci´on
Arquitectura y Modelos de Seguridad Mecanismos de Protecci´ on Layering
Definici´on
Arquitectura y Modelos de Seguridad Mecanismos de Protecci´ on Data Hiding
1
Arquitectura de Computadoras
2
Mecanismos de Protecci´ on Trusted Computing Base (TCB) Monitor de Referencia Kernel de Seguridad Protection Rings Layering Data Hiding
3
Modos de Seguridad
4
Modelos de Seguridad
5
Gu´ıas de Evaluaci´on
Arquitectura y Modelos de Seguridad Mecanismos de Protecci´ on Data Hiding
Definici´on Data Hiding Importante caracter´ıstica de la seguridad multinivel. Este principio asegura que los datos existentes en un nivel de seguridad, no son visibles a procesos que se ejecutan en un nivel diferente. El concepto clave detr´as de Data Hiding, es el de asegurar que quienes no tengan Need-to-Know respecto del detalle involucrado en el acceso y procesamiento de datos en un determinado nivel, no tenga forma de deducir, observar u aprender el mismo.
Arquitectura y Modelos de Seguridad Modos de Seguridad
1
Arquitectura de Computadoras
2
Mecanismos de Protecci´ on
3
Modos de Seguridad Antecedentes Dedicated Security Mode System High Security Mode Multi-Level Security Mode (MLS) Compartmentalized Security Mode (Partitioned)
4
Modelos de Seguridad
5
Gu´ıas de Evaluaci´on
6
Certificaci´on y Acreditaci´ on
Arquitectura y Modelos de Seguridad Modos de Seguridad Antecedentes
1
Arquitectura de Computadoras
2
Mecanismos de Protecci´ on
3
Modos de Seguridad Antecedentes Dedicated Security Mode System High Security Mode Multi-Level Security Mode (MLS) Compartmentalized Security Mode (Partitioned)
4
Modelos de Seguridad
5
Gu´ıas de Evaluaci´on
6
Certificaci´on y Acreditaci´ on
Arquitectura y Modelos de Seguridad Modos de Seguridad Antecedentes
Historia Hist´oricamente, los requerimientos de seguridad han sido satisfechos por medio del uso contramedidas relacionadas con aspectos f´ısicos, de las personas, y de la informaci´on en si misma. Con los avances en tecnolog´ıa, es posible implementar contramedidas, ya no solo en el entorno, sino tambi´en en el mismo sistema. El gobierno de los EEUU ha designado cuatro modos de seguridad a partir de los cuales puede ser posible procesar informaci´on clasificada. El modo de operaci´ on, describe las condiciones de seguridad bajo las cuales el sistema realmente debe funcionar.
Arquitectura y Modelos de Seguridad Modos de Seguridad Antecedentes
Clasificaci´on de la Informaci´on
Un sistema puede operar en diferentes modos, dependiendo de la sensibilidad de los datos que en el mismo han de ser procesados, el nivel de separaci´ on de los usuarios (Clearance Level/Clasificaci´on de la Informaci´ on) y lo que estos usuarios se encuentran en condiciones de hacer. El nivel o modo de seguridad de computo requerido en un sistema, depende de la evaluaci´ on del riesgo y la naturaleza del entorno.
Arquitectura y Modelos de Seguridad Modos de Seguridad Antecedentes
Need to Know Definici´on Need to Know Access (Otorgar acceso solo a lo necesario) es un esquema de autorizaci´ on de acceso, en el cual los derechos de acceso a un objeto por parte de un sujeto, son otorgados tomando en consideraci´on, no solo el nivel de privilegio que el mismo posee, sino tambi´en la relevancia del dato involucrado en la tarea que el sujeto debe realizar. Need to Know indica que el sujeto requiere acceso al objeto a fin de poder realizar su trabajo. Aun teniendo el nivel de privilegio adecuado, quienes no tengan Need to know, no deben ser capaces de acceder el objeto en cuesti´on.
Arquitectura y Modelos de Seguridad Modos de Seguridad Dedicated Security Mode
1
Arquitectura de Computadoras
2
Mecanismos de Protecci´ on
3
Modos de Seguridad Antecedentes Dedicated Security Mode System High Security Mode Multi-Level Security Mode (MLS) Compartmentalized Security Mode (Partitioned)
4
Modelos de Seguridad
5
Gu´ıas de Evaluaci´on
6
Certificaci´on y Acreditaci´ on
Arquitectura y Modelos de Seguridad Modos de Seguridad Dedicated Security Mode
Definici´on
Modo de Seguridad Dedicado Todos los usuarios est´an autorizados y tienen “need-to- know” de la informaci´on que es procesada por el sistema. Muchos sistemas militares han sido dise˜ nados para manejar un nivel de seguridad en modo dedicado. En este modelo, cada uno de los usuarios que acceden al sistema debe poseer un alto nivel de autorizaci´on(clearance). Si un sistema maneja informaci´ on clasificada como TOP SECRET, solo usuarios con este nivel de autorizaci´on podr´an acceder el mismo.
Arquitectura y Modelos de Seguridad Modos de Seguridad System High Security Mode
1
Arquitectura de Computadoras
2
Mecanismos de Protecci´ on
3
Modos de Seguridad Antecedentes Dedicated Security Mode System High Security Mode Multi-Level Security Mode (MLS) Compartmentalized Security Mode (Partitioned)
4
Modelos de Seguridad
5
Gu´ıas de Evaluaci´on
6
Certificaci´on y Acreditaci´ on
Arquitectura y Modelos de Seguridad Modos de Seguridad System High Security Mode
Definici´on System High Security Mode Todos los usuarios del sistema tienen permitido y aprobado la posibilidad de ver la informaci´ on dentro del sistema, pero no necesariamente necesitan conocer la misma (t´ıpicamente militar). Todos los usuarios tienen “need-to-know” sobre ALGUNOS de los datos. Al igual que en el modelo anterior, en este cada uno de los usuarios que acceden al sistema debe poseer un alto nivel de autorizaci´on, sin embargo un usuario puede tener acceso restringido a informaci´ on para la cual no tiene “need-toknow”.
Arquitectura y Modelos de Seguridad Modos de Seguridad Multi-Level Security Mode (MLS)
1
Arquitectura de Computadoras
2
Mecanismos de Protecci´ on
3
Modos de Seguridad Antecedentes Dedicated Security Mode System High Security Mode Multi-Level Security Mode (MLS) Compartmentalized Security Mode (Partitioned)
4
Modelos de Seguridad
5
Gu´ıas de Evaluaci´on
6
Certificaci´on y Acreditaci´ on
Arquitectura y Modelos de Seguridad Modos de Seguridad Multi-Level Security Mode (MLS)
Definici´on
Multi-Level Security Mode (MLS) Este modo de operaci´on, permite que dos o mas niveles de clasificaci´on, sean utilizados en forma simultanea. No todo el personal que tiene acceso al sistema tiene la aprobaci´on ni la necesidad de conocer para toda la informaci´on dentro del sistema.
Arquitectura y Modelos de Seguridad Modos de Seguridad Compartmentalized Security Mode (Partitioned)
1
Arquitectura de Computadoras
2
Mecanismos de Protecci´ on
3
Modos de Seguridad Antecedentes Dedicated Security Mode System High Security Mode Multi-Level Security Mode (MLS) Compartmentalized Security Mode (Partitioned)
4
Modelos de Seguridad
5
Gu´ıas de Evaluaci´on
6
Certificaci´on y Acreditaci´ on
Arquitectura y Modelos de Seguridad Modos de Seguridad Compartmentalized Security Mode (Partitioned)
Definici´on Compartmentalized Security Mode (Partitioned) Un sistema se encuentra operando en Compartmented Security Mode, cuando todos los usuarios tienen autorizaci´on respecto de la totalidad de la informaci´ on procesada por el sistema, pero no todos tienen la need-to-know. En este modo, se establecen restricciones de acceso a los usuarios, sobre la porci´ on de informaci´ on para la que no existe need-to-know. De esta forma, los usuarios terminan accediendo u ´nicamente a un segmento, partici´on o compartment de datos. En un sistema acorde al Compartmentalized Security Mode, algunos necesitan conocer la informaci´ on, otros no. Los usuarios del sistema deben cumplir con los requerimientos para el ´area o partici´ on a la que desean acceder.
Arquitectura y Modelos de Seguridad Modelos de Seguridad
1
Arquitectura de Computadoras
2
Mecanismos de Protecci´ on
3
Modos de Seguridad
4
Modelos de Seguridad Introducci´on Bell-LaPadula Biba Clark & Wilson Otros Modelos
5
Gu´ıas de Evaluaci´on
6
Certificaci´on y Acreditaci´ on
Arquitectura y Modelos de Seguridad Modelos de Seguridad Introducci´ on
1
Arquitectura de Computadoras
2
Mecanismos de Protecci´ on
3
Modos de Seguridad
4
Modelos de Seguridad Introducci´on Bell-LaPadula Biba Clark & Wilson Otros Modelos
5
Gu´ıas de Evaluaci´on
6
Certificaci´on y Acreditaci´ on
Arquitectura y Modelos de Seguridad Modelos de Seguridad Introducci´ on
Caracter´ısticas “Los modelos de seguridad son un concepto importante en el an´alisis y dise˜ no de sistemas de computo seguro” . Provee un framework dentro del cual puede ser implementada una pol´ıtica de seguridad. Define los lineamientos necesarios para implementar y soportar la pol´ıtica de seguridad. Provee los lineamientos y directivas que deben cumplir los desarrollos de hardware y software, motivo por el cual solemos referirnos a estos como la representaci´ on simb´olica de una pol´ıtica de seguridad en un conjunto de reglas que pueden ser seguidas por una computadora.
Arquitectura y Modelos de Seguridad Modelos de Seguridad Introducci´ on
Pol´ıtica vs Modelo de Seguridad
Mientras que una pol´ıtica de seguridad es generalmente un conjunto de directivas o intenciones abstractas, un modelo de seguridad representa exactamente el modo en el cual la pol´ıtica deber´ıa ser implementada. Las pol´ıticas de seguridad proveen los objetivos abstractos y el modelo de seguridad provee las reglas necesarias para cumplir con dichos objetivos.
Arquitectura y Modelos de Seguridad Modelos de Seguridad Introducci´ on
Implementaci´on
En la actualidad, los modelos formales de seguridad han quedado algo relegados respecto de la cambiante din´amica de negocios con la cual convivimos a diario. Siendo rigoristas, si bien los mismos a´ un permiten establecer par´ametros generales, a nivel pr´actico solo pueden ser implementados parcialmente. Conceptos tales como: Firewall, Troyanos o Worms, no se encuentran contemplados en los denominados modelos formales
Arquitectura y Modelos de Seguridad Modelos de Seguridad Bell-LaPadula
1
Arquitectura de Computadoras
2
Mecanismos de Protecci´ on
3
Modos de Seguridad
4
Modelos de Seguridad Introducci´on Bell-LaPadula Biba Clark & Wilson Otros Modelos
5
Gu´ıas de Evaluaci´on
6
Certificaci´on y Acreditaci´ on
Arquitectura y Modelos de Seguridad Modelos de Seguridad Bell-LaPadula
Introducci´on
Descripci´on formal de los flujos de informaci´ on permitidos dentro de un sistema seguro. Se utiliza para definir requerimientos de seguridad para sistemas que deben administrar datos a diferentes niveles de sensitividad. *-Property (propiedad estrella) – previene el write-down, Sujetos pertenecientes a niveles de acceso superiores no pueden escribir informaci´ on en objetos de niveles de sensibilizad inferiores. Evita el filtrado de informaci´on sensitiva a niveles menos seguros.
Arquitectura y Modelos de Seguridad Modelos de Seguridad Bell-LaPadula
Modo de Operaci´on
Arquitectura y Modelos de Seguridad Modelos de Seguridad Bell-LaPadula
Caracter´ısticas
El modelo define un estado seguro (secure state) El acceso entre sujetos y objetos respeta una pol´ıtica de seguridad espec´ıfica. TCSEC es una implantaci´ on de Bell-LaPadula Solo aplica a la sensibilizad (nivel de confidencialidad/secreto) de la informaci´on. Tal vez el modelo mas representativo respecto de ambientes militares.
Arquitectura y Modelos de Seguridad Modelos de Seguridad Bell-LaPadula
Resumen
Bell-Lapadula Orientado a mantener la confidencialidad. Reglas de Operaci´ on: simple-rule (no read up) = espionaje *-rule (no write down) = divulgaci´ on strong-*-rule : si se posee la capacidad de read y write s´olo se pueden realizar estas funciones en el mismo nivel.
Arquitectura y Modelos de Seguridad Modelos de Seguridad Biba
1
Arquitectura de Computadoras
2
Mecanismos de Protecci´ on
3
Modos de Seguridad
4
Modelos de Seguridad Introducci´on Bell-LaPadula Biba Clark & Wilson Otros Modelos
5
Gu´ıas de Evaluaci´on
6
Certificaci´on y Acreditaci´ on
Arquitectura y Modelos de Seguridad Modelos de Seguridad Biba
Introducci´on El modelo Biba cubre niveles de integridad, los cuales son an´alogos a los niveles de sensitividad del modelo Bell-LaPadula. Los niveles de integridad cubren la modificaci´on impropia de datos. Tal vez el modelo mas representativo respecto de ambientes comerciales. Previene que usuarios no autorizados realicen modificaciones (1er objetivo de integridad) Modelo Read Up, Write Down Los sujetos no pueden leer objetos de integridad inferior, y no pueden escribir objetos de integridad superior.
Arquitectura y Modelos de Seguridad Modelos de Seguridad Biba
Modo de Operaci´on
Arquitectura y Modelos de Seguridad Modelos de Seguridad Biba
Resumen
Biba Orientado a asegurar la Integridad Reglas de Operaci´ on: simple-rule: no read down = evitar las fuentes dudosas. *-rule: no write up = no contaminar otros documentos.
Arquitectura y Modelos de Seguridad Modelos de Seguridad Clark & Wilson
1
Arquitectura de Computadoras
2
Mecanismos de Protecci´ on
3
Modos de Seguridad
4
Modelos de Seguridad Introducci´on Bell-LaPadula Biba Clark & Wilson Otros Modelos
5
Gu´ıas de Evaluaci´on
6
Certificaci´on y Acreditaci´ on
Arquitectura y Modelos de Seguridad Modelos de Seguridad Clark & Wilson
Introducci´on
Al igual que Biba, este modelo se encuentra orientado a proteger la integridad de la informaci´ on. Cumple con los principales objetivos de un modelo de integridad: Previene las modificaciones por parte de usuarios no autorizados. (T – Tamper). Previene que usuarios autorizados realicen modificaciones impropias. Mantiene la consistencia interna y externa. (C – Consistencia)
Refuerza el concepto de auditoria. Todas las las modificaciones deben ser registradas (L - Logged)
Arquitectura y Modelos de Seguridad Modelos de Seguridad Clark & Wilson
Well Formed Transactions Propone “Well Formed Transactions” Una WFT no es mas que una serie de operaciones que permiten la transferencia de datos de un estado seguro a otro estado seguro. Algunos de los principios relacionados con WFT son: Ejecuci´ on de tareas en forma ordenada. Ejecuci´ on exacta de las tareas definidas. Autenticaci´ on de los individuos que ejecutan las tareas.
El modelo Clark & Wilson, incorpora la separaci´on de tareas (separation of duties) dentro de la arquitectura de una aplicaci´on. Es decir, provee las reglas que los desarrolladores deben seguir a efectos de reforzar este principio a trav´es de procedimientos de software.
Arquitectura y Modelos de Seguridad Modelos de Seguridad Clark & Wilson
Modo de Operaci´on
Arquitectura y Modelos de Seguridad Modelos de Seguridad Clark & Wilson
Resumen
Biba Orientado a asegurar la Integridad Conceptos Clave: Access Triple = Subject -> Application (SW)-> Object Auditing = Aplicaci´ on logueando accesos Separation of Duties = Separaci´ on de tareas.
Arquitectura y Modelos de Seguridad Modelos de Seguridad Otros Modelos
1
Arquitectura de Computadoras
2
Mecanismos de Protecci´ on
3
Modos de Seguridad
4
Modelos de Seguridad Introducci´on Bell-LaPadula Biba Clark & Wilson Otros Modelos
5
Gu´ıas de Evaluaci´on
6
Certificaci´on y Acreditaci´ on
Arquitectura y Modelos de Seguridad Modelos de Seguridad Otros Modelos
Modelo de m´aquina de estados(State Machine Model)
Definici´on Modelo matem´atico abstracto que se compone de variables de estado y funciones de transici´ on entre estados. La mayor´ıa de los modelos formales de seguridad, incluyendo Bell-LaPadula y Biba, se consideran derivados de este modelo.
Arquitectura y Modelos de Seguridad Modelos de Seguridad Otros Modelos
Modelo de flujo de informaci´on (Information Flow Model) Definici´on Simplifica el an´alisis de covert channels. Cuando Information Flow Model es utilizado, un sistema es seguro si todo flujo de informaci´on ilegal no es permitido. Bell-LaPadula es un modelo de IF que asegura que la informaci´on no pueda fluir de un compartimiento a otro en forma que afecte la confidencialidad. Biba define compartimientos de datos basado en niveles de integridad, implementando de este modo, un modelo de IF que proteja la integridad de la informaci´ on mas confiable.
Arquitectura y Modelos de Seguridad Modelos de Seguridad Otros Modelos
Modelo de no-interferencia
Definici´on Cubre aquellos casos en los que se necesita prevenir que sujetos que operan en un determinado dominio puedan afectarse entre s´ı violando la pol´ıtica de seguridad (Actividades realizadas sobre un nivel de seguridad no deber´ıan afectar o ser vistas, por sujetos u objetos en un nivel de seguridad diferente). De utilizaci´on t´ıpica en sistemas multi-nivel. Su principal prop´osito no es otro que el de combatir ataques de inferencia y de covert channels.
Arquitectura y Modelos de Seguridad Modelos de Seguridad Otros Modelos
Modelo de Matriz de Accesos(Access Matrix Model)
Definici´on Es un modelo de m´aquina de estados aplicado a un ambiente DAC (Discretionary Access Control). Decisiones de acceso, son basadas en ACLs de objetos y tablas de capacidades del sujeto.
Arquitectura y Modelos de Seguridad Gu´ıas de Evaluaci´ on
1
Arquitectura de Computadoras
2
Mecanismos de Protecci´ on
3
Modos de Seguridad
4
Modelos de Seguridad
5
Gu´ıas de Evaluaci´on Introducci´on TCSEC ITSEC CC
6
Certificaci´on y Acreditaci´ on
Arquitectura y Modelos de Seguridad Gu´ıas de Evaluaci´ on Introducci´ on
1
Arquitectura de Computadoras
2
Mecanismos de Protecci´ on
3
Modos de Seguridad
4
Modelos de Seguridad
5
Gu´ıas de Evaluaci´on Introducci´on TCSEC ITSEC CC
6
Certificaci´on y Acreditaci´ on
Arquitectura y Modelos de Seguridad Gu´ıas de Evaluaci´ on Introducci´ on
Antecedentes
El proceso de determinar cuan seguro es un sistema puede ser una tarea dif´ıcil. Las organizaciones necesitan m´etodos para evaluar el grado de seguridad otorgado por tal o cual sistema, y de este modo determinar si el mismo resuelve los requisitos impuestos por la pol´ıtica de seguridad implementada. Una gu´ıa de evaluaci´ on, deber´ıa ser lo suficientemente general en sus principios, de modo tal que la misma sirva a los efectos de comparar diferentes tipos de sistemas y otorgar a los mismos una clasificaci´ on de acuerdo al nivel de seguridad que presentan.
Arquitectura y Modelos de Seguridad Gu´ıas de Evaluaci´ on Introducci´ on
Antecedentes
Inicialmente, el concepto detr´as de la confecci´on de una Gu´ıa de Evaluaci´on, se encuentra ´ıntimamente relacionado con la necesidad por parte de las agencias de seguridad, el gobierno, y las organizaciones privadas, de conocer el nivel o grado de seguridad, existente en los diferentes sistemas, aplicaciones o productos al momento de efectuar una compra o contrataci´on.
Arquitectura y Modelos de Seguridad Gu´ıas de Evaluaci´ on TCSEC
1
Arquitectura de Computadoras
2
Mecanismos de Protecci´ on
3
Modos de Seguridad
4
Modelos de Seguridad
5
Gu´ıas de Evaluaci´on Introducci´on TCSEC ITSEC CC
6
Certificaci´on y Acreditaci´ on
Arquitectura y Modelos de Seguridad Gu´ıas de Evaluaci´ on TCSEC
Trusted Computer Systems Evaluation Criteria
En 1985 el “National Computer Security Center” (NCSC), desarrolla para el “Departamento de Defensa de los EEUU” (DoD), un conjunto de est´andares, los cuales resultan en la creaci´on de TCSEC (Trusted Computer System Evaluation Criteria). El principal objetivo detr´as de la creaci´ on de TCSEC es el de proveer al gobierno y entidades relacionadas, con un gu´ıa que les permitiera evaluar los productos ofrecidos por los diferentes proveedores, para cada uno de los criterios de seguridad especificados.
Arquitectura y Modelos de Seguridad Gu´ıas de Evaluaci´ on TCSEC
Trusted Computer Systems Evaluation Criteria
TCSEC == “Orange Book” TCSEC provee: Una base para establecer requisitos de seguridad en las especificaciones de adquisici´ on. Un est´andar de los servicios de seguridad que deben ser proporcionados por los vendedores para los diferentes criterios de seguridad existentes. Una forma de medir la seguridad de un sistema de informaci´on. TCSEC direcciona confidencialidad. No integridad. La funcionalidad de los mecanismos de seguridad y el Assurance de los mismos, NO son evaluados en forma separada.
Arquitectura y Modelos de Seguridad Gu´ıas de Evaluaci´ on TCSEC
Trusted Computer Systems Evaluation Criteria D - Minimal protection C - Discretionary Protection C1 – Usuarios cooperativos que pueden proteger su propia informaci´ on C2 – DAC m´as granular, se puede auditar al usuario/ proceso individualmente (individual accountability)
B - Mandatory Protection (Bell-LaPadula, RM, Security Labels Requeridas) B1 Labeled Security Protection (Process Isolation!) B2 Structured Protection (Covert Channels!) B3 Security Domains
A - Verified Protection (Direcciona seguridad a nivel Top Secret) A1 Verified Design
Arquitectura y Modelos de Seguridad Gu´ıas de Evaluaci´ on ITSEC
1
Arquitectura de Computadoras
2
Mecanismos de Protecci´ on
3
Modos de Seguridad
4
Modelos de Seguridad
5
Gu´ıas de Evaluaci´on Introducci´on TCSEC ITSEC CC
6
Certificaci´on y Acreditaci´ on
Arquitectura y Modelos de Seguridad Gu´ıas de Evaluaci´ on ITSEC
Information Technology Security Evaluation Criteria Desarrollado en Europa como est´andar u ´nico de evaluaci´on de la seguridad en sistemas. Eval´ ua Funcionalidad y Seguridad (Assurance) en forma separada. Effectiveness = Hacen lo que se espera que haga. Correctiveness = Que tan correcto es el proceso por el cual lo hacen.
Clasificaciones por: F1-F10 Niveles de Funcionalidad. E0-E6 Niveles de Assurance.
ITSEC direcciona Integridad, Disponibilidad y Confidencialidad. ITSEC se ocupa de evaluar sistemas en red mietras que TCSEC solo hace lo propio con sistemas stand-alone.
Arquitectura y Modelos de Seguridad Gu´ıas de Evaluaci´ on CC
1
Arquitectura de Computadoras
2
Mecanismos de Protecci´ on
3
Modos de Seguridad
4
Modelos de Seguridad
5
Gu´ıas de Evaluaci´on Introducci´on TCSEC ITSEC CC
6
Certificaci´on y Acreditaci´ on
Arquitectura y Modelos de Seguridad Gu´ıas de Evaluaci´ on CC
Common Criteria (CC)
Creado por el ISO en 1993. Creado a partir de TCSEC, ITSEC, Canadian Trusted. Computer Product Evaluation Criteria (CTCPEC) y el Federal Criteria. Provee mas flexibilidad que TCSEC e ITSEC.
Arquitectura y Modelos de Seguridad Gu´ıas de Evaluaci´ on CC
Componentes del Common Criteria (CC) Protection Profile (PP) Descripci´ on de las necesidades de seguridad de un producto.
Target of Evaluation (TOE) Producto que se propone evaluar.
Security Target (ST) Descripci´ on escrita por el proveedor explicando las funcionalidades de seguridad (que hace?) y mecanismos de assurance que cumplen los requerimientos de seguridad (como lo hace?).
Packages – Evaluation Assurance Levels (EAL) Los requerimientos Funcionales (definen el comportamiento del producto relacionado con la seguridad) y de Assurance (establece el nivel de confianza en el producto) son reunidos en paquetes para ser reutilizados. Describen los requisitos a cumplir para alcanzar cada nivel EAL espec´ıfico.
Arquitectura y Modelos de Seguridad Gu´ıas de Evaluaci´ on CC
Package Ratings – Evaluations Ratings
1
Basic Assurance EAL EAL EAL EAL
1 2 3 4
Functionally tested Structurally tested Methodically tested and checked Methodically designed, tested and reviewed
2
Medium Assurance
3
High Assurance
EAL 5 Semiformally designed and tested EAL 6 Semiformally verified design and tested EAL 7 Formally verified design and tested
Arquitectura y Modelos de Seguridad Certificaci´ on y Acreditaci´ on
1
Arquitectura de Computadoras
2
Mecanismos de Protecci´ on
3
Modos de Seguridad
4
Modelos de Seguridad
5
Gu´ıas de Evaluaci´on
6
Certificaci´on y Acreditaci´ on Introducci´on
7
Amenazas y Ataques
Arquitectura y Modelos de Seguridad Certificaci´ on y Acreditaci´ on Introducci´ on
1
Arquitectura de Computadoras
2
Mecanismos de Protecci´ on
3
Modos de Seguridad
4
Modelos de Seguridad
5
Gu´ıas de Evaluaci´on
6
Certificaci´on y Acreditaci´ on Introducci´on
7
Amenazas y Ataques
Arquitectura y Modelos de Seguridad Certificaci´ on y Acreditaci´ on Introducci´ on
Definiciones
Procedimientos y Juicios que determinan si un sistema se encuentra en condiciones para operar en un ambiente operativo determinado (suitability). La certificaci´ on considera al sistema dentro del ambiente operativo. La acreditaci´ on refiere a la decisi´ on oficial de la gerencia relacionada con la operaci´ on del sistema en el ambiente especificado.
Arquitectura y Modelos de Seguridad Certificaci´ on y Acreditaci´ on Introducci´ on
Definiciones
Certificaci´on Evaluaci´on t´ecnica mediante la cual se revisan los mecanismos y controles de seguridad, con el objeto de evaluar su efectividad. Acreditaci´on Aceptaci´on oficial de los resultados de una certificaci´on.
Arquitectura y Modelos de Seguridad Amenazas y Ataques
1
Arquitectura de Computadoras
2
Mecanismos de Protecci´ on
3
Modos de Seguridad
4
Modelos de Seguridad
5
Gu´ıas de Evaluaci´on
6
Certificaci´on y Acreditaci´ on
7
Amenazas y Ataques Amenazas
Arquitectura y Modelos de Seguridad Amenazas y Ataques Amenazas
1
Arquitectura de Computadoras
2
Mecanismos de Protecci´ on
3
Modos de Seguridad
4
Modelos de Seguridad
5
Gu´ıas de Evaluaci´on
6
Certificaci´on y Acreditaci´ on
7
Amenazas y Ataques Amenazas
Arquitectura y Modelos de Seguridad Amenazas y Ataques Amenazas
Covert Channels Definici´on Un canal de comunicaci´ on que permite la transferencia de informaci´on entre dos procesos violando la pol´ıtica de seguridad del sistema. Producto de: Descuido en el desarrollo del producto. Implementaci´ on no apropiada de control de acceso. Existencia de un recurso compartido entre dos entidades. Instalaci´ on de un Caballo de Troya.
Covert Storage Channel involucra uso de memoria compartida entre los dos procesos. Covert Timing Channel involucra la modulaci´on del uso de un recurso del sistema (por ejemplo CPU).
Arquitectura y Modelos de Seguridad Amenazas y Ataques Amenazas
Timing Attacks / Asynchronous Attacks
Buscan tomar ventaja en el paso del tiempo entre dos eventos diferentes. Time of Check / Time of Use (TOC/TOU) El ataque ocurre por ejemplo, entre el momento en el que se revisa un archivo determinado y el momento en que se lo utiliza. Un usuario se logue en el sistema por la ma˜ nana y es despedido por la tarde. Por seguridad, el administrador remueve el usuario de la base de datos, pero si el usuario en cuesti´ on no es obligado a hacer el log off, aun podr´a seguir accediendo por alg´ un tiempo a los recursos de la compa˜ n´ıa.
Arquitectura y Modelos de Seguridad Amenazas y Ataques Amenazas
Radiaci´on Electromagn´etica
Simplemente debido a las clases de componentes electr´onicos con los cuales se construyen, muchos dispositivos de hardware emiten radiaci´on electromagn´etica durante su operaci´on. En ciertas circunstancias estas emanaciones pueden ser interceptadas y las secuencias de teclado reconstruidas. Tambi´en es posible detectar y leer paquetes de red en forma pasiva, a lo largo de un segmento de la red.
Arquitectura y Modelos de Seguridad Referencias bibliogr´ aficas
Referencias bibliogr´aficas I
S Harris. CISSP Certification All-in-One Exam Guide, Fourth Edition. McGraw-Hill Osborne Media; 4 edition (November 9, 2007).