02 - Security Architecture and Design v3
-
Upload
johan-bedoya -
Category
Documents
-
view
99 -
download
0
Transcript of 02 - Security Architecture and Design v3
CISSP Security Training Security Architecture and Models
Security Architecture and Design
AgendaArquitectura de Computadoras Mecanismos de Proteccin Modos de Seguridad Modelos de Seguridad Guas de Evaluacin Certificacin & Acreditacin Ataques Referencias y Lecturas Complementarias Preguntas
CISSP Security Training - Security Architecture and Design
2
Security Architecture and Design
Arquitectura de Computadoras
1
CISSP Security Training Security Architecture and Models
Arquitectura de ComputadorasLa Arquitectura de Computadoras es una disciplina de la Ingeniera, relacionada con el diseo y la construccin de sistemas de cmputo a nivel lgico. Para que una Arquitectura termine por ser segura, debe ser concebida de este modo.
CISSP Security Training - Security Architecture and Design
4
Arquitectura de Computadoras (Cont.)La Arquitectura de Computadoras comprende todas y cada una de las partes necesarias para que un sistema de computo funcione, esto incluye:Sistema Operativo Chips de Memoria Circuitos Discos Duros Componentes de Seguridad Conexiones Bus Componentes de Networking Etc.
CISSP Security Training - Security Architecture and Design
5
Arquitectura de Computadoras (Cont.)Hardware / Software Componentes principales de la plataforma de hardware en la Arquitectura de Computadoras:CPU (Unidad Central de Procesamiento) Memoria Bus Connections Dispositivos de Entrada/ Salida (I/O) Dispositivos de Almacenamiento
CISSP Security Training - Security Architecture and Design
6
2
CISSP Security Training Security Architecture and Models
Arquitectura de Computadoras (Cont.)CPU (Unidad Central de Procesamiento) La Unidad Central de Procesamiento, es un microprocesador que contiene:Unidad de Control (CU) Unidad Aritmtico Lgica (ALU) Registros (Register)
Caractersticas principales de los MicroprocesadoresReducido SET de instrucciones MIPS (Millones de Instrucciones por Segundo)CISSP Security Training - Security Architecture and Design
7
Arquitectura de Computadoras (Cont.)ExteriorUC (Unidad de Control): La Unidad de Control es la encargada de gestionar y controlar el correcto funcionamiento de la Unidad de Proceso, indicando cuando una instruccin debe ser enviada al procesador. La UC no procesa datos, tan solo acta como agente de trnsito. UP (Unidad de Proceso): Formada por componentes tales como: la ALU, Registros, y buses.
UPALU
Seales
UC
CPUEstructura Interna del Microprocesador
ALU (Unidad Aritmtico-Lgica): Encargada de llevar a cabo funciones matemticas y operaciones lgicas. Registros: Almacenan datos durante cierto tiempo, dentro la CPU. Bus: Conjunto de circuitos y conectores
Podramos decir que la ALU es el cerebro del procesador, y el procesador el cerebro de la computadora.
CISSP Security Training - Security Architecture and Design
8
Arquitectura de Computadoras (Cont.)Aplicacinadd x + y = z x=3 y=2
Instrucciones
Datos
Memoria
Z=5add x + y = z x=3 y=2
UC
UP
ALU
CPU
Regstros1. 2. 3. 4. El software mantiene sus datos e instrucciones en memoria. Cuando una accin necesita ser tomada respecto de los datos, estos y sus instrucciones asociadas son pasados a la CPU. Una vez all los datos son colocados en registros de instrucciones, quedando a la espera de que la UC indique que es hora de que los mismos sean procesados. Finalmente los datos procesados son enviados nuevamente a la memoria de la computadora quedando estos disponibles para ser tratados por la aplicacin, con el objeto de que esta pueda continuar con su tarea. CISSP Security Training - Security Architecture and Design
9
3
CISSP Security Training Security Architecture and Models
Ciclo de Ejecucin de una InstruccinFetchEl CPU presenta la direccin de la prxima instruccin a ejecutar a la memoria CPU obtiene la instruccin localizada en la direccin definida
ExecuteDecodificacin y Ejecucin
Este ciclo es controlado y sincronizado utilizando clock signals.CISSP Security Training - Security Architecture and Design
10
Ciclo de Ejecucin de una Instruccin (Cont.)
CISSP Security Training - Security Architecture and Design
11
CPU StatesLa CPU, se encuentra siempre en alguno de los siguientes estados principales:User StateEn este estado, solo pueden ser ejecutadas instrucciones noprivilegiadas.
Supervisor State / Privileged ModeEn este estado, pueden ser ejecutadas tanto instrucciones no-privilegiadas como privilegiadas.Nota: En realidad los estados de ejecucin pueden ser mas, dependiendo bsicamente de la arquitectura de sistemas subyacente.
CISSP Security Training - Security Architecture and Design
12
4
CISSP Security Training Security Architecture and Models
Process StatesUn proceso es un programa en ejecucin, el cual se encuentra compuesto de cdigo ejecutable, datos e informacin relativa su ejecucin. Un proceso trabaja en su propio espacio de direcciones y puede comunicarse con otros procesos, solo a travs de pasos autorizados por el sistema operativo.
CISSP Security Training - Security Architecture and Design
13
Process State (Cont.)Process State no es lo mismo que CPU States. Mientras que CPU State define el modo operativo de la CPU, Process State se refiere al modo en que los procesos se encuentran corriendo dentro de esta. El estado de los procesos o Process State, es particular de cada sistema operativo. Ready, Waiting, Running y Stopped son solo algunos de los estados mas comnmente encontrados.
CISSP Security Training - Security Architecture and Design
14
Process State (Cont.)ReadyEl proceso esta disponible para ser utilizado y a la espera de una instruccin.
WaitingEl proceso est listo para continuar con su ejecucin, pero se encuentra a la espera de un dispositivo u otro tipo de requerimiento. (Ejemplo: Obtencin de datos desde el disco rgido, obtencin de un registro en BD)
RunningLas instrucciones del proceso estn siendo ejecutadas por la CPU.
StoppedEl proceso se encuentra detenido.CISSP Security Training - Security Architecture and Design
15
5
CISSP Security Training Security Architecture and Models
Process State (Cont.)
CISSP Security Training - Security Architecture and Design
16
Mtodos de Mejora de ProcesamientoPipeliningAumenta la performance mediante la superposicin de las tareas de diferentes instrucciones
CISSP Security Training - Security Architecture and Design
17
Mtodos de Mejora de Procesamiento (Cont.)Complex-Instruction-Set-Computer (CISC)Utiliza un conjunto de instrucciones que permiten realizar mltiples operaciones por instruccin (Pentium, Cyrix y AMD)
Reduced-Instruction-Set-Computer (RISC)Utiliza instrucciones mas simples que requieren menos ciclos de procesamiento para ser ejecutadas (Power PC, Motorola y SPARC)
CISSP Security Training - Security Architecture and Design
18
6
CISSP Security Training Security Architecture and Models
Mtodos de Mejora de Procesamiento (Cont.)Cuando se ejecuta un programa difcil, o extenso, los CISC son ms rpidos y eficaces que los RISC. En cambio cuando se tiene en ejecucin un conjunto de instrucciones sencillas, cortas y simples, los RISC son ms rpidos.
CISSP Security Training - Security Architecture and Design
19
Mtodos de Mejora de Procesamiento (Cont.)Scalar ProcessorProcesador que ejecuta una instruccin por vez.
Superscalar ProcessorProcesador que permite la ejecucin de varias instrucciones en la misma etapa del pipeline, como as tambin en diferentes etapas de pipeline. (IBM RS/6000)
CISSP Security Training - Security Architecture and Design
20
Mtodos de Mejora de Procesamiento (Cont.)Very-Long Instruction-Word Processor (VLIW)Procesador en el cual una instruccin especifica mas de una operacin concurrente.
CISSP Security Training - Security Architecture and Design
21
7
CISSP Security Training Security Architecture and Models
Mtodos de Mejora de Procesamiento (Cont.)MultitaskingEjecucin de dos o mas tareas al mismo tiempo utilizando un solo CPU.Coordinado por el SO (Windows 2000, Linux, OS/390, etc.)
CISSP Security Training - Security Architecture and Design
22
Mtodos de Mejora de Procesamiento (Cont.)MultiprogrammingEjecucin simultnea de dos o ms programas utilizando un solo CPU.A diferencia de lo que ocurre con Multitasking, cuya implementacin suele encontrarse en sistemas operativos de PC tales como Linux y Windows, Multiprogramming suele encontrarse generalmente en mainframes o sistemas legacy. Multitasking es normalmente coordinado por el sistema operativo, mientras que Multiprogramming requiere que el software se encuentre especialmente escrito para coordinar sus propias acciones a travs del sistema operativo.CISSP Security Training - Security Architecture and Design
23
Mtodos de Mejora de Procesamiento (Cont.)MultiprocessingEjecucin simultnea de dos o ms programas en mltiples CPUs. SMP (Symmetric Multiprocessing)Una computadora, con mas de un procesador, controlado por un solo sistema operativo (Bus de Datos y Memoria Compartidos).
MPP (Massively Parallel Processing)Cientos o miles de procesadores, cada uno de los cuales utiliza su propio juego de recursos (sistema operativo, bus de datos y memoria).CISSP Security Training - Security Architecture and Design
24
8
CISSP Security Training Security Architecture and Models
Mtodos de Mejora de Procesamiento (Cont.)Proceso VS ThreadUn proceso es un programa en ejecucin que posee su propio espacio de trabajo, y solo puede comunicarse con otro proceso de modo controlado. Un Thread en cambio, representa una pieza de cdigo que esta siendo ejecutada dentro de un proceso. Un proceso puede incluir uno o mas Threads.
CISSP Security Training - Security Architecture and Design
25
Mtodos de Mejora de Procesamiento (Cont.)MultithreadingEjecucin de mltiples tareas al mismo tiempo utilizando un solo CPU. A diferencia de lo que ocurre con Multitasking donde las diferentes tareas ocupan diferentes procesos, Multithreading permite ejecutar varias tareas en un solo proceso.Quizs un buen ejemplo de Multithreading, sea cuando abrimos varios documentos de Word, lo cual no genera mltiples instancias de Word, precisamente porque todas ellas corren en un solo proceso utilizando diferentes hilos.
CISSP Security Training - Security Architecture and Design
26
MemoriasCache Flash Memory RAM (Random Access Memory)Dynamic Random Access Memory (DRAM) Extended Data Output RAM (EDO RAM) Synchronous DRAM (SDRAM) Double Data Rate SDRAM (DDR SDRAM) Burst Extended Data Output DRAM (BEDO DRAM)
ROM (Read Only Memory)Programmable Read Only Memory (PROM) Erasable Programmable Read-Only Memory (EPROM) Electrically Erasable Programmable Read-Only Memory (EEPROM)CISSP Security Training - Security Architecture and Design
27
9
CISSP Security Training Security Architecture and Models
Memorias (Cont.)Memoria Primaria (Real Memory Primary Storage)Directamente accesible por la CPU y frecuentemente utilizada al momento de almacenar datos e instrucciones asociados con el programa que se encuentra en ejecucin. Generalmente RAM.
Memoria Secundaria (Secondary Storage)Almacenamiento no voltil, mas lento que la memoria primaria. Ejemplo: Discos Rgidos, CDs, DVDs, Floppys.
CISSP Security Training - Security Architecture and Design
28
Memorias (Cont.)Memoria Virtual (Virtual Memory Virtual Storage)Combinacin de memoria primaria y secundaria. Define un nico espacio de direccionamiento. Habilidad para extender el tamao aparente de la memoria RAM usando parte del disco rgido. (Swapping / Paging)
Concepto Asociado a Memorias: Voltil No Voltil
CISSP Security Training - Security Architecture and Design
29
Memorias (Cont.)
Esquema de Jerarqua
CPU
Cache PrimariaCPU RAM = 200 ns CPU Hard Drive =12.000.000 ns
Secundaria
CISSP Security Training - Security Architecture and Design
30
10
CISSP Security Training Security Architecture and Models
Direccionamiento de MemoriaCuando se utilizan recursos de memoria, el procesador debe tener alguna forma de referirse a los diferentes lugares existentes dentro de ella. La solucin a este problema, se conoce como Direccionamiento por su termino en ingles Addressing.
CISSP Security Training - Security Architecture and Design
31
Direccionamiento de Memoria (Cont.)Por Registro (Register Addressing) Directo (Direct Addressing) Absoluto (Absolute Addressing) Indexado (Indexed Addressing) Implcito (Implied Addressing) Indirecto (Indirect Addressing)
CISSP Security Training - Security Architecture and Design
32
Memory ProtectionPreviene el acceso de un programa al espacio de memoria reservado para otro programa Se implanta a nivel de sistema operativo o hardwareMemoria Memoria Memoria
Proceso
Proceso
Proceso
Proceso
Proceso
Proceso
Proceso
Aplicacion A
Aplicacion B
Aplicacion C33
CISSP Security Training - Security Architecture and Design
Proceso
11
CISSP Security Training Security Architecture and Models
Input / Output StructuresInput/Output (I/O) interface adaptersPermiten la comunicacin entre el procesador y los dispositivos externosMemory-Mapped I/O Se otorga una direccin de memoria central al dispositivo Isolated I/O Una seal especial en el bus de comunicacin indica la ejecucin de una operacin de I/O. No utiliza memoria central Direct Memory Access (DMA) Data es transferida en forma directa desde y hacia la memoria, no requiere del CPU Interrupt Processing Una seal externa interrumpe el flujo normal del programa para requerir servicioCISSP Security Training - Security Architecture and Design
34
BusBus : Circuitos impresos (o bien cables) que transmiten los
datos del microprocesador. de transmisin de datos : lneas fsicas por dnde circulan los datos que se han ledo o que se van a escribir (entrada/salida). de direcciones : lneas fsicas por dnde circulan las direcciones de memoria desde dnde se leern (entrada), o se escribirn (salida), los datos. de control : lneas fsicas por dnde circulan las rdenes de control (entrada/salida).CISSP Security Training - Security Architecture and Design
35
Sistema OperativoEl Sistema Operativo es el software principal de toda plataforma de computo. Este es cargado en la computadora por medio de un programa denominado Boot, nombre con el que solemos referirnos al proceso responsable de la carga del sistema operativo. Grandes computadoras o mainframes, utilizan una secuencia boot conocida como IPL (Initial Program Load). Durante toda secuencia de booteo, un pequeo programa es cargado en memoria, el cual una vez inicializado realiza la carga total del sistema operativo.CISSP Security Training - Security Architecture and Design
36
12
CISSP Security Training Security Architecture and Models
Sistema Operativo (Cont.)Una vez en ejecucin, el sistema operativo es el responsable de controlar varios subsistemas tales como las utilidades de software, aplicaciones, sistemas de archivos, control de acceso, etc. Todo sistema operativo persigue dos objetivos primarios:Controlar el uso de los sistemas y recursos. Proveer de una interfaz entre usuario y computadora.
CISSP Security Training - Security Architecture and Design
37
Sistemas Abiertos y CerradosLos sistemas pueden ser desarrollados de forma tal de que resulte sencilla su integracin con otros sistemas (Open), o pueden ser desarrollados con una naturaleza mas propietaria (Closed) construidos para funcionar solo con un sub-grupo de otros sistemas o productosSistemas AbiertosVendor-independent Especificaciones pblicas/ Interfaces disponibles Sujeto a revisiones independientes
Sistemas CerradosSistema propietario Usualmente no compatible Puede tener vulnerabilidades no conocidas/publicadas38
Algunos ConceptosSubject: Sujeto, Personas, Asunto, Proceso.Entidad Activa.
Object: Objeto, Informacin, Dato.Entidad Pasiva.
Clearance: Acreditacin del Sujeto. Classification: Clasificacin del Objeto.
CISSP Security Training - Security Architecture and Design
39
13
CISSP Security Training Security Architecture and Models
Mecanismos de ProteccinTrusted Computing Base (TCB) Reference Monitor Security Kernel
CISSP Security Training - Security Architecture and Design
40
Mecanismos de Proteccin (Cont.)Trusted Computing Base (TCB)Combinacin de todos los mecanismos de seguridad dentro de un sistema (Hardware + Software + Firmware).
CISSP Security Training - Security Architecture and Design
41
Mecanismos de Proteccin (Cont.)Reference MonitorModelo abstracto que define las reglas para evaluar si los sujetos puede en funcin de sus credenciales acceder a los objetos clasificados. Controla el acceso de sujetos (Subject, Sujeto, Asunto, Personas) a recursos (Object, Objeto, Informacin). Concepto abstracto, implementado en Security Kernel.
CISSP Security Training - Security Architecture and Design
42
14
CISSP Security Training Security Architecture and Models
Mecanismos de Proteccin (Cont.)Security KernelParte del TCB que implementa y asegura el concepto del Reference Monitor. Se compone de hardware, firmware y software. Analiza todos los intentos de acceso de los sujetos a los objetos. Es responsable por mediar entre los accesos de sujetos a objetos; estar protegido de modificaciones; ser verificable como correcto.
CISSP Security Training - Security Architecture and Design
43
Mecanismos de Proteccin (Cont.)Requerimientos para el Security KernelAislamiento del proceso. Intermediario. Imposible de esquivar. De funcionamiento verificable. Pequeo para ser verificado en su totalidad en forma confiable.
CISSP Security Training - Security Architecture and Design
44
Security Kernel
CISSP Security Training - Security Architecture and Design
45
15
CISSP Security Training Security Architecture and Models
Mecanismos de Proteccin (Cont.)Protection DomainConjunto de objetos que un sujeto es capaz de acceder. Los dominios deben ser identificados, separados y asegurados.
Security PerimeterLnea que separa el TCB del resto del sistema (Todos los elementos que se encuentra ms all del control de TCB se los denomina externos al permetro de seguridad).
Resource IsolationPrincipio que dicta que sujetos, objetos y controles; deben encontrarse correctamente aislados unos de otros. Requerimiento bsico de toda arquitectura y modelo de seguridad.CISSP Security Training - Security Architecture and Design
46
Mecanismos de Proteccin (Cont.)Protection RingsSe organizan con el dominio mas privilegiado localizado en el anillo del centro y el de menor privilegio en el anillo mas alejado del mismo. En el anillo 0 usualmente se encuentra el Kernel del sistema operativo. Un sujeto en el anillo 3, no puede acceder directamente un objeto situado en el anillo 1, pero un sujeto en el anillo 1 si puede acceder directamente un objeto situado en el anillo 3. Las entidades, solo pueden acceder objetos dentro de su propio anillo o a uno superior.
CISSP Security Training - Security Architecture and Design
47
Proteccin Rings
CISSP Security Training - Security Architecture and Design
48
16
CISSP Security Training Security Architecture and Models
Mecanismos de Proteccin (Cont.)LayeringConcepto bsico del diseo de sistemas operativos.
CISSP Security Training - Security Architecture and Design
49
Mecanismos de Proteccin (Cont.)Data HidingImportante caracterstica de la seguridad multinivel. Este principio asegura que los datos existentes en un nivel de seguridad, no son visibles a procesos que se ejecutan en un nivel diferente. El concepto clave detrs de Data Hiding, es el de asegurar que quienes no tengan Need-to-Know respecto del detalle involucrado en el acceso y procesamiento de datos en un determinado nivel, no tenga forma de deducir, observar u aprender el mismo.
CISSP Security Training - Security Architecture and Design
50
Security Architecture and Design
Modos de Seguridad
17
CISSP Security Training Security Architecture and Models
Modos de SeguridadHistricamente, los requerimientos de seguridad han sido satisfechos por medio del uso contramedidas relacionadas con aspectos fsicos, de las personas, y de la informacin en si misma. Con los avances en tecnologa, es posible implementar contramedidas, ya no solo en el entorno, sino tambin en el mismo sistema. El gobierno de los EEUU ha designado cuatro modos de seguridad a partir de los cuales puede ser posible procesar informacin clasificada.CISSP Security Training - Security Architecture and Design
52
Modos de Seguridad (Cont.)El modo de operacin, describe las condiciones de seguridad bajo las cuales el sistema realmente debe funcionar. Un sistema puede operar en diferentes modos, dependiendo de la sensibilidad de los datos que en el mismo han de ser procesados, el nivel de separacin de los usuarios (Clearance Level Clasificacin de la Informacin) y lo que estos usuarios se encuentran en condiciones de hacer. El nivel o modo de seguridad de computo requerido en un sistema, depende de la evaluacin del riesgo y la naturaleza del entorno.
CISSP Security Training - Security Architecture and Design
53
Need-to-KnowNeed-to-Know Access (Otorgar acceso solo a lo necesario) Esquema de autorizacin de acceso, en el cual los derechos de acceso a un objeto por parte de un sujeto, son otorgados tomando en consideracin, no solo el nivel de privilegio que el mismo posee, sino tambin la relevancia del dato involucrado en la tarea que el sujeto debe realizar. Need-to-Know indica que el sujeto requiere acceso al objeto a fin de poder realizar su trabajo. Aun teniendo el nivel de privilegio adecuado, quienes no tengan Need-to-know, no deben ser capaces de acceder el objeto en cuestin.
CISSP Security Training - Security Architecture and Design
54
18
CISSP Security Training Security Architecture and Models
Modos de Seguridad (Cont.)Dedicated Security Mode System High Security Mode Multi-Level Security Mode (MLS) Compartmentalized Security Mode (Partitioned)
CISSP Security Training - Security Architecture and Design
55
Modos de Seguridad (Cont.)Dedicated Security ModeTodos los usuarios estn autorizados y tienen need-toknow de la informacin que es procesada por el sistema.Muchos sistemas militares han sido diseados para manejar un nivel de seguridad en modo dedicado. En este modelo, cada uno de los usuarios que acceden al sistema debe poseer un alto nivel de clearance. Si un sistema maneja informacin clasificada como TOP SECRET, solo usuarios con este clearance level podrn acceder el mismo.
CISSP Security Training - Security Architecture and Design
56
Modos de Seguridad (Cont.)System High Security ModeTodos los usuarios del sistema tienen permitido y aprobado la posibilidad de ver la informacin dentro del sistema, pero no necesariamente necesitan conocer la misma (tpicamente militar).La diferencia entre Dedicated Security Mode y System High Security Mode, es que en el primero todos los usuarios tienen need-to-know sobre todos los datos del sistema, mientras que en System High Security Mode, todos los usuarios tienen need-to-know sobre ALGUNOS de los datos. Al igual que en el modelo anterior, en este cada uno de los usuarios que acceden al sistema debe poseer un alto nivel de clearance, sin embargo un usuario puede tener acceso restringido a informacin para la cual no tiene need-toknow.CISSP Security Training - Security Architecture and Design
57
19
CISSP Security Training Security Architecture and Models
Modos de Seguridad (Cont.)Multi-Level Security Mode (MLS)Este modo de operacin, permite que dos o mas niveles de clasificacin, sean utilizados en forma simultanea.No todo el personal que tiene acceso al sistema tiene la aprobacin ni la necesidad de conocer para toda la informacin dentro del sistema.
CISSP Security Training - Security Architecture and Design
58
Modos de Seguridad (Cont.)Compartmentalized Security Mode (Partitioned) Un sistema se encuentra operando en Compartmented Security Mode, cuando todos los usuarios tienen clearance respecto de la totalidad de la informacin procesada por el sistema, pero no todos tienen la need-to-know.En este modo, se establecen restricciones de acceso a los usuarios, sobre la porcin de informacin para la que no existe need-to-know. De esta forma, los usuarios terminan accediendo nicamente a un segmento, particin o compartment de datos. En un sistema acorde al Compartmentalized Security Mode, algunos necesitan conocer la informacin, otros no. Los usuarios del sistema deben cumplir con los requerimientos para el rea o particin a la que desean acceder.CISSP Security Training - Security Architecture and Design
59
Modos de Seguridad (Cont.)Cuadro Resumen Clearance/Need-to-Know
ModoDedicated System High Compartmented Multilevel
Clearance== == == Diferente
Need-to-KnowNo SI SI SI
NDASI SI SI SI
* Si no aplica, el valor asignado a Need-to-Know es NO. Por el contrario, si el acceso es limitado por restricciones del tipo Need-to-Know, este valor es SI.
CISSP Security Training - Security Architecture and Design
60
20
CISSP Security Training Security Architecture and Models
Security Architecture and Design
Modelos de Seguridad
Modelos de SeguridadLos modelos de seguridad son un concepto importante en el anlisis y diseo de sistemas de computo seguro. Un modelo de seguridad, provee un framework dentro del cual puede ser implementada una poltica de seguridad. Un modelo de seguridad, define los lineamientos necesarios para implementar y soportar la poltica de seguridad.
CISSP Security Training - Security Architecture and Design
62
Modelos de Seguridad (Cont.)Mientras que una poltica de seguridad es generalmente un conjunto de directivas o intenciones abstractas, un modelo de seguridad representa exactamente el modo en el cual la poltica debera ser implementada. Un modelo de seguridad, a su vez provee los lineamientos y directivas ue deben cumplir los desarrollos de hardware y software, motivo por el cual solemos referirnos a estos como la representacin simblica de una poltica de seguridad en un conjunto de reglas que pueden ser seguidas por una computadora.
CISSP Security Training - Security Architecture and Design
63
21
CISSP Security Training Security Architecture and Models
Modelos de Seguridad (Cont.)
En resumen Las polticas de seguridad proveen los objetivos abstractos y el modelo de seguridad provee las reglas necesarias para cumplir con dichos objetivos.
CISSP Security Training - Security Architecture and Design
64
Modelos de Seguridad (Cont.)Implementacin En la actualidad, los modelos formales de seguridad han quedado algo relegados respecto de la cambiante dinmica de negocios con la cual convivimos a diario. En rigor de verdad, si bien los mismos an permiten establecer parmetros generales, a nivel prctico solo pueden ser implementados parcialmente.(Conceptos tales como: Firewall, Troyanos o Worms, no se encuentran contemplados en los denominados modelos formales)
CISSP Security Training - Security Architecture and Design
65
Modelos de Seguridad (Cont.)Bell-LaPadula Biba Clark & Wilson Otros ModelosBrewer & Nash - Chinese Wall (Muralla China) Lattice (Enrejado) State machine (Mquina de estados) Information flow (Flujo de informacin) Non-interference (No-interferencia) Access Matrix (Matriz de accesos)
CISSP Security Training - Security Architecture and Design
66
22
CISSP Security Training Security Architecture and Models
Bell-LaPadulaDescripcin formal de los flujos de informacin permitidos dentro de un sistema seguro. Se utiliza para definir requerimientos de seguridad para sistemas que deben administrar datos a diferentes niveles de sensitividad. *-Property (propiedad estrella) previene el write-down, Sujetos pertenecientes a niveles de acceso superiores no pueden escribir informacin en objetos de niveles de sensitividad inferiores. Evita el filtrado de informacin sensitiva a niveles menos seguros.
CISSP Security Training - Security Architecture and Design
67
Bell-LaPadula (Cont.)
CISSP Security Training - Security Architecture and Design
68
Bell-LaPadula (Cont.)El modelo define un estado seguro (secure state)El acceso entre sujetos y objetos respeta una poltica de seguridad especfica.
TCSEC es una implantacin de Bell-LaPadula Bell-LaPadula solo aplica a la sensitividad (nivel de confidencialidad/secreto) de la informacin. Tal vez el modelo mas representativo respecto de ambientes militares.
CISSP Security Training - Security Architecture and Design
69
23
CISSP Security Training Security Architecture and Models
Bell-LaPadula (Cont.)Resumen: Bell-LaPadula Orientado a mantener la confidencialidad. Reglas de Operacin:simple-rule (no read up) = espionaje *-rule (no write down) = divulgacin strong-*-rule : si se posee la capacidad de read y write slo se pueden realizar estas funciones en el mismo nivel.
CISSP Security Training - Security Architecture and Design
70
Biba Integrity ModelEl modelo Biba cubre niveles de integridad, los cuales son anlogos a los niveles de sensitividad del modelo Bell-LaPadula. Los niveles de integridad cubren la modificacin inapropiada de datos. Tal vez el modelo mas representativo respecto de ambientes comerciales.
CISSP Security Training - Security Architecture and Design
71
Biba Integrity Model (Cont.)Previene que usuarios no autorizados realicen modificaciones (1er objetivo de integridad) Modelo Read Up, Write Down Los sujetos no pueden leer objetos de integridad inferior, y no pueden escribir objetos de integridad superior.
CISSP Security Training - Security Architecture and Design
72
24
CISSP Security Training Security Architecture and Models
Biba Integrity Model (Cont.)
CISSP Security Training - Security Architecture and Design
73
Biba Integrity Model (Cont.)Biba
Bell-LaPadula
CISSP Security Training - Security Architecture and Design
74
Biba Integrity Model (Cont.)Resumen: Biba Orientado a asegurar la Integridad Reglas de Operacin:simple-rule: no read down = evitar las fuentes dudosas. *-rule: no write up = no contaminar otros documentos.
CISSP Security Training - Security Architecture and Design
75
25
CISSP Security Training Security Architecture and Models
Modelo Clark & WilsonAl igual que Biba, este modelo se encuentra orientado a proteger la integridad de la informacin. Cumple con los principales objetivos de un modelo de integridad:Previene las modificaciones por parte de usuarios no autorizados. (T Tamper). Previene que usuarios autorizados realicen modificaciones inapropiadas. Mantiene la consistencia interna y externa. (C Consistencia)
Refuerza el concepto de auditoria.Todas las las modificaciones deben ser registradas (L - Logged)
CISSP Security Training - Security Architecture and Design
76
Modelo Clark & Wilson (Cont.)Propone Well Formed TransactionsUna WFT no es mas que una serie de operaciones que permiten la transferencia de datos de un estado seguro a otro estado seguro. Algunos de los principios relacionados con WFT son:Ejecucin de tareas en forma ordenada. Ejecucin exacta de las tareas definidas. Autenticacin de los individuos que ejecutan las tareas.
El modelo Clark & Wilson, incorpora la separacin de tareas (separation of duties) dentro de la arquitectura de una aplicacin. Es decir, provee las reglas que los desarrolladores deben seguir a efectos de reforzar este principio a travs de procedimientos de software.CISSP Security Training - Security Architecture and Design
77
Modelo Clark & Wilson (Cont.)
Users: Agente Activo TPs: Procedimiento de Transformacin CDIs: Constrained data items UDIs: Unconstrained data items IVPs: Integrity Verification Procedures
CISSP Security Training - Security Architecture and Design
78
26
CISSP Security Training Security Architecture and Models
Modelo Clark & Wilson (Cont.)Resumen: Clark & Wilson Orientado a asegurar la Integridad Conceptos Clave:Access Triple = Subject Application (SW) Auditing = Aplicacin logueando accesos Separation of Duties = Separacin de tareas. Object
CISSP Security Training - Security Architecture and Design
79
Otros Modelos Brewer & NashBrewer & Nash - Chinese Wall (Muralla China) Creado para proveer un tipo de control de acceso, capaz de cambiar dinmicamente dependiendo de acciones previas realizadas por el usuario Su principal objetivo es el de prevenir el conflicto de intereses.Escenario: Una gran compaa de Marketing que provee campaas y materiales promocionales para dos importantes bancos. Un empleado trabajando en el proyecto del banco A, no debera tomar conocimiento del material de proyecto en el que otro empleado se encuentra trabajando para el banco B.
Reglas de Operacin:simple-rule: Un sujeto puede leer un objeto si slo si, no puede escribir en otros objetos que entren en conflicto con el primero. *-rule: Un sujeto puede escribir en un objeto si no ha ledo los datos de otros objetos que entren en conflicto con el primero.
CISSP Security Training - Security Architecture and Design
80
Otros Modelos Lattice (Enrejado)Lattice (Enrejado) Fuerza el concepto de need-to-know.Reglas de Operacin:Los objetos se clasifican por nivel y rea (Dominio) Los sujetos poseen acreditacin por nivel y dominio de inters (Need-to-know). Los sujetos pueden acceder a los objetos si y solo si:Sujeto.Nivel > o = Objeto.Nivel Sujeto.Dominio incluye a Objeto.Dominio
El modelo plantea el acceso basado en los conceptos de least upper bound (menor limite superior) y greatest lower bound (limite inferior mas alto), a partir de los cuales se aplica el control de acceso mas restringido.CISSP Security Training - Security Architecture and Design
81
27
CISSP Security Training Security Architecture and Models
Otros Modelos Lattice (Enrejado) (Cont.)Kathy Security Clearance TS{Iraq,Korea}
Reglas de Operacin: simple-rule (no read up) = espionaje *-rule (no write down) = divulgacin strong-*-rule : si se posee la capacidad de read y write slo se pueden realizar estas funciones en el mismo nivel.
CISSP Security Training - Security Architecture and Design
82
Otros Modelos State MachineModelo de mquina de estados (State Machine Model) Modelo matemtico abstracto que se compone de variables de estado y funciones de transicin entre estados. La mayora de los modelos formales de seguridad, incluyendo Bell-LaPadula y Biba, se consideran derivados de este modelo.
CISSP Security Training - Security Architecture and Design
83
Otros Modelos Information FlowModelo de flujo de informacin (Information Flow Model) Simplifica el anlisis de covert channels. Cuando Information Flow Model es utilizado, un sistema es seguro si todo flujo de informacin ilegal no es permitido.Bell-LaPadula es un modelo de IF que asegura que la informacin no pueda fluir de un compartimiento a otro en forma que afecte la confidencialidad. Biba define compartimientos de datos basado en niveles de integridad, implementando de este modo, un modelo de IF que proteja la integridad de la informacin mas confiable.
CISSP Security Training - Security Architecture and Design
84
28
CISSP Security Training Security Architecture and Models
Otros Modelos No-InterferenciaModelo de no-interferencia (Non-interference Model) Cubre aquellos casos en los que se necesita prevenir que sujetos que operan en un determinado dominio puedan afectarse entre s violando la poltica de seguridad (Actividades realizadas sobre un nivel de seguridad no deberan afectar o ser vistas, por sujetos u objetos en un nivel de seguridad diferente). De utilizacin tpica en sistemas multi-nivel. Su principal propsito no es otro que el de combatir ataques de inferencia y de covert channels.
CISSP Security Training - Security Architecture and Design
85
Otros Modelos Matriz de AccesosModelo de Matriz de Accesos (Access Matrix Model)Es un modelo de mquina de estados aplicado a un ambiente DAC (Discretionary Access Control). Decisiones de acceso, son basadas en ACLs de objetos y tablas de capacidades del sujeto.
CISSP Security Training - Security Architecture and Design
86
Otros Modelos Matriz de Accesos (Cont.)
CISSP Security Training - Security Architecture and Design
87
29
CISSP Security Training Security Architecture and Models
Modelos de Seguridad - ResumenCuadro Resumen Integridad/ConfidencialidadModeloBell-LaPadula Biba Clark-Wilson Access Control List
Directiva PrimariaConfidencialidad Integridad Integridad Intenta ambos
CISSP Security Training - Security Architecture and Design
88
Security Architecture and Design
Guas de Evaluacin
Guas de EvaluacinEl proceso de determinar cuan seguro es un sistema puede ser una tarea difcil. Las organizaciones necesitan mtodos para evaluar el grado de seguridad otorgado por tal o cual sistema, y de este modo determinar si el mismo resuelve los requisitos impuestos por la poltica de seguridad implementada. Una gua de evaluacin, debera ser lo suficientemente general en sus principios, de modo tal que la misma sirva a los efectos de comparar diferentes tipos de sistemas y otorgar a los mismos una clasificacin de acuerdo al nivel de seguridad que presentan.CISSP Security Training - Security Architecture and Design
90
30
CISSP Security Training Security Architecture and Models
Guas de Evaluacin (Cont.)Inicialmente, el concepto detrs de la confeccin de una Gua de Evaluacin, se encuentra ntimamente relacionado con la necesidad por parte de las agencias de seguridad, el gobierno, y las organizaciones privadas, de conocer el nivel o grado de seguridad, existente en los diferentes sistemas, aplicaciones o productos al momento de efectuar una compra o contratacin.
CISSP Security Training - Security Architecture and Design
91
Guas de EvaluacinTCSEC Trusted Computer Systems Evaluation Criteria Orange Book ITSEC - Information Technology Security Evaluation Criteria (Europa) CTCPEC - Canadian Trusted Computer Product Evaluation Criteria Common Criteria
CISSP Security Training - Security Architecture and Design
92
TCSECEn 1985 el National Computer Security Center (NCSC), desarrolla para el Departamento de Defensa de los EEUU (DoD), un conjunto de estndares, los cuales resultan en la creacin de TCSEC (Trusted Computer System Evaluation Criteria). El principal objetivo detrs de la creacin de TCSEC es el de proveer al gobierno y entidades relacionadas, con un guideline que les permitiera evaluar los productos ofrecidos por los diferentes proveedores, para cada uno de los criterios de seguridad especificados.
CISSP Security Training - Security Architecture and Design
93
31
CISSP Security Training Security Architecture and Models
TCSEC (Cont.)TCSEC == Orange Book TCSEC provee:Una base para establecer requisitos de seguridad en las especificaciones de adquisicin. Un estndar de los servicios de seguridad que deben ser proporcionados por los vendedores para los diferentes criterios de seguridad existentes. Una forma de medir la seguridad de un sistema de informacin. TCSEC direcciona confidencialidad. No integridad. La funcionalidad de los mecanismos de seguridad y el Assurance de los mismos, NO son evaluados en forma separada.CISSP Security Training - Security Architecture and Design
94
TCSEC (Cont.)D - Minimal protection C - Discretionary Protection C1 Usuarios cooperativos que pueden proteger su propia informacin C2 DAC ms granular, se puede auditar al usuario/ proceso individualmente (individual accountability) Windows NT 4.0/ 2000 (bajo ciertas condiciones) Novell Netware B - Mandatory Protection (Bell-LaPadula, RM, Security Labels Requeridas ) B1 Labeled Security Protection (Process Isolation!) B2 Structured Protection (Covert Channels!) B3 Security Domains A - Verified Protection (Direcciona seguridad a nivel Top Secret) A1 Verified DesignCISSP Security Training - Security Architecture and Design
95
ITSECITSEC (Information Technology Security Evaluation Criteria) Desarrollado en Europa como estndar nico de evaluacin de la seguridad en sistemas. Evala Funcionalidad y Seguridad (Assurance) en forma separada.Effectiveness = Hacen lo que se espera que haga. Correctiveness = Que tan correcto es el proceso por el cual lo hacen.
Clasificaciones por: F1-F10 Niveles de Funcionalidad. E0-E6 Niveles de Assurance. ITSEC direcciona Integridad, Disponibilidad y Confidencialidad. ITSEC se ocupa de evaluar sistemas en red mietras que TCSEC solo hace lo propio con sistemas stand-alone.CISSP Security Training - Security Architecture and Design
96
32
CISSP Security Training Security Architecture and Models
Common Criteria (CC)Creado por el ISO en 1993. Creado a partir de TCSEC, ITSEC, Canadian Trusted. Computer Product Evaluation Criteria (CTCPEC) y el Federal Criteria. Provee mas flexibilidad que TCSEC e ITSEC.
CISSP Security Training - Security Architecture and Design
97
Componentes del Common Criteria (CC)Protection Profile (PP)Descripcin de las necesidades de seguridad de un producto.
Target of Evaluation (TOE)Producto que se propone evaluar.
Security Target (ST)Descripcin escrita por el proveedor explicando las funcionalidades de seguridad (que hace?) y mecanismos de assurance que cumplen los requerimientos de seguridad (como lo hace?).
CISSP Security Training - Security Architecture and Design
98
Componentes del Common Criteria (Cont.)Packages Evaluation Assurance Levels (EAL)Los requerimientos Funcionales (definen el comportamiento del producto relacionado con la seguridad) y de Assurance (establece el nivel de confianza en el producto) son reunidos en paquetes para ser reutilizados. Describen los requisitos a cumplir para alcanzar cada nivel EAL especfico.
CISSP Security Training - Security Architecture and Design
99
33
CISSP Security Training Security Architecture and Models
Package Ratings Evaluations RatingsEAL 1 Functionally tested EAL 2 Structurally tested EAL 3 Methodically tested and checked EAL 4 Methodically designed, tested and reviewed EAL 5 Semiformally designed and tested EAL 6 Semiformally verified design and tested EAL 7 Formally verified design and tested
Basic Assurance
Medium Assurance High Assurance
CISSP Security Training - Security Architecture and Design
100
Security Architecture and Design
Certificacin & Acreditacin
Certificacin & AcreditacinProcedimientos y Juicios que determinan si un sistema se encuentra en condiciones para operar en un ambiente operativo determinado (suitability). La certificacin considera al sistema dentro del ambiente operativo. La acreditacin refiere a la decisin oficial de la gerencia relacionada con la operacin del sistema en el ambiente especificado.
CISSP Security Training - Security Architecture and Design
102
34
CISSP Security Training Security Architecture and Models
Certificacin & Acreditacin (Cont.)
Certificacin Evaluacin tcnica mediante la cual se revisan los mecanismos y controles de seguridad, con el objeto de evaluar su efectividad. Acreditacin Aceptacin oficial de los resultados de una certificacin.
CISSP Security Training - Security Architecture and Design
103
Security Architecture and Design
Amenazas - Ataques
AmenazasCovert Channels Timing Attacks Radiacin Electromagntica
CISSP Security Training - Security Architecture and Design
105
35
CISSP Security Training Security Architecture and Models
Covert ChannelsUn canal de comunicacin que permite la transferencia de informacin entre dos procesos violando la poltica de seguridad del sistema. Producto de:Descuido en el desarrollo del producto. Implementacin no apropiada de control de acceso. Existencia de un recurso compartido entre dos entidades. Instalacin de un Caballo de Troya.
Covert Storage Channel involucra uso de memoria compartida entre los dos procesos. Covert Timing Channel involucra la modulacin del uso de un recurso del sistema (por ejemplo CPU).CISSP Security Training - Security Architecture and Design
106
Timing Attacks / Asynchronous AttacksTiming Attacks Asynchronous AttacksBuscan tomar ventaja en el paso del tiempo entre dos eventos diferentes. Time of Check / Time of Use (TOC/TOU)El ataque ocurre por ejemplo, entre el momento en el que se revisa un archivo determinado y el momento en que se lo utiliza. Un usuario se logue en el sistema por la maana y es despedido por la tarde. Por seguridad, el administrador remueve el usuario de la base de datos, pero si el usuario en cuestin no es obligado a hacer el log off, aun podr seguir accediendo por algn tiempo a los recursos de la compaa.CISSP Security Training - Security Architecture and Design ~
107
Radiacin ElectromagnticaSimplemente debido a las clases de componentes electrnicos con los cuales se construyen, muchos dispositivos de hardware emiten radiacin electromagntica durante su operacin. En ciertas circunstancias estas emanaciones pueden ser interceptadas y las secuencias de teclado reconstruidas. Tambin es posible detectar y leer paquetes de red en forma pasiva, a lo largo de un segmento de la red.
CISSP Security Training - Security Architecture and Design
108
36
CISSP Security Training Security Architecture and Models
Security Architecture and Design
Referencias y Lecturas Complementarias
Referencias y Lecturas ComplementariasCISSP All-in-One Exam Guide, Third Edition (All-in-One)By Shon Harris (McGraw-Hill Osborne Media) ISBN: 0072257121
Official (ISC)2 Guide to the CISSP ExamBy Susan Hansche (AUERBACH) ISBN: 084931707X
The CISSP Prep Guide: Gold EditionBy Ronald L. Krutz, Russell Dean Vines (Wiley) ISBN: 047126802X
CISSP Certification Training GuideBy Roberta Bragg (Que) ISBN: 078972801X
CCCure.Org WebSite: http://www.cccure.orgBy Clement Dupuis
Advanced CISSP Prep Guide: Exam Q&ABy Ronald L. Krutz, Russell Dean Vines (Wiley) ISBN: 0471236632
Information Security Management Handbook, Fifth Edition By Harold F. Tipton, Micki Krause (Que) ISBN: 0849319978 CISSP: Certified Information Systems Security Profesional Study Guide, Third EditionBy James M. Stewart, Ed Tittel, Mike Chapple (Sybex) ISBN: 0782144438
CISSP Security Training - Security Architecture and Design
110
Security Architecture and Design
Preguntas?
37