Protección y Seguridad

1) Concepto y Propósito de la Protección y Seguridad:

Los términos seguridad y protección se utilizan en forma indistinta. Sin embargo, es útil hacer una distinción entre los problemas generales relativos a la garantía de que los archivos no sea leídos o modificados por personal no autorizado, lo que incluye aspectos técnicos, de administración, legales y políticos, por un lado y los sistemas específicos del sistema operativo utilizados para proporcionar la seguridad, por el otro. Para evitar la confusión, utilizaremos el término seguridad para referirnos al problema general y el termino mecanismo de protección para referirnos a los mecanismos específicos del sistema operativo utilizado para resguardar la información de la computadora.

La protección es un mecanismo control de acceso de los programas, procesos o usuarios al sistema o recursos.

Hay importantes razones para proveer protección. La más obvia es la necesidad de prevenirse de violaciones intencionales de acceso por un usuario. Otras de importancia son, la necesidad de asegurar que cada componente de un programa, use solo los recursos del sistema de acuerdo con las políticas fijadas para el uso de esos recursos.

Un recurso desprotegido no puede defenderse contra el uso no autorizado o de un usuario incompetente. Los sistemas orientados a la protección proveen maneras de distinguir entre uso autorizado y desautorizado.

2) Características

3) Importancia de la Seguridad y Protección en un Sistema Operativo

Dado el avance tecnológico en las telecomunicaciones, hoy día los sistemas de cómputo trabajan en un ambiente de intercomunicación global, por lo tanto la seguridad en los sistemas operativos es un aspecto de máxima importancia. A este respecto, podemos afirmar categóricamente que Linux es el sistema operativo más seguro que existe. Generalmente se cree que en Linux la administración de la seguridad es un rol de todo o nada, sin embargo sobran ejemplos que demuestran que la seguridad en Linux puede ser configurada de acuerdo a necesidades particulares. Esta capacidad se debe a que la seguridad en Linux viene implementada desde el kernel, de modo que es posible configurarla a nivel de sistema de archivos, de servicios de red, de facilidades en el host y de capacidades de usuario.

Si cree que este no es un factor determinante, piense por un momento en cualquier intruso accediendo su sistema DOS, Windows 3.X ó 9X, el cual puede obtener información confidencial o destruir todo el contenido del disco, y esto es solo un ejemplo. En tiempos recientes se han detectado "puertas traseras" en el software de Microsoft, por ejemplo, si usted introduce la frase "xxxxxx" en el IIS usted tiene acceso a todo el sistema. ¿Le parece 100% seguro un programa al que solamente los programadores de la compañía que lo vende tienen acceso al código fuente? Difícilmente.

Por otra parte, el alto nivel de seguridad de Linux se pone de manifiesto por el hecho de que se ha mantenido inmune del ataque de los virus que constantemente asedian a Windows XXXX. Además, Linux ha sido utilizado en ambientes donde la seguridad es una necesidad a priori: instalaciones militares, plantas nucleares, oficinas federales, etc. Por lo tanto, a través del tiempo se han desarrollado mecanismos de seguridad altamente confiables, que hacen posible que Linux usted trabaje en un ambiente totalmente seguro.

Generalmente, los avances tecnológicos en el campo de la autenticación y la encriptación se dan el ambiente Linux donde son adoptados en primera instancia y luego implementados por otros sistemas operativos. En realidad el tema de la seguridad puede abarcar capítulos enteros, sin embargo, basta mencionar el hecho de que en las diversas pruebas de seguridad que se han efectuado entre Linux y Windows NT, Linux ha salido avante siempre.

4) Diferencias entre cifrado, codificación y encriptación

- Encriptar: En términos de computación normalmente se refiere a proteger uno o varios archivos con una contraseña.

- Cifrar : El nombre lo dice, es el método para descubrir la contraseña misma. - Codificar: Es el proceso por el cual la información de una fuente es

convertida en símbolos para ser comunicada.

5) Objetivos de la Protección

Inicialmente protección del SO frente a usuarios poco confiables.

• Protección: control para que cada componente activo de un proceso solo pueda acceder a los recursos especificados, y solo en forma congruente con la política establecida.

• La mejora de la protección implica también una mejora de la seguridad.

• Las políticas de uso se establecen:

• Por el hardware.

• Por el administrador / SO.

• Por el usuario propietario del recurso.

• Principio de separación entre mecanismo y política:

• Mecanismo → con que elementos (hardware y/o software) se realiza la protección.

• Política → es el conjunto de decisiones que se toman para especificar como se usan esos elementos de protección.

• La política puede variar

• dependiendo de la aplicación,

• a lo largo del tiempo.

• La protección no solo es cuestión del administrador, sino también del usuario.

• El sistema de protección debe:

• distinguir entre usos autorizados y no-autorizados.

• especificar el tipo de control de acceso impuesto.

• proveer medios para el aseguramiento de la protección.

6) Dominio de Protección

Un sistema de cómputos contiene muchos objetos que necesitan protección. Estos objetos pueden ser el hardware, la CPU, los segmentos de memoria, terminales, unidades de disco o impresoras; o bien ser del software, como los proceso, archivos, bases de datos o semáforos.

Cada objeto tiene un único nombre mediante el cual se la hace referencia y un conjunto de operaciones que se pueden realizar en él. READ y WRITE son operaciones adecuadas para un archivo; UP y DOWN tiene sentido en un semáforo.

Es evidente que se necesita una vía para prohibir el acceso de los procesos a los objetos a los que no tiene permitido dicho acceso. Además, este mecanismo debe posibilitar la restricción de los procesos a un subconjunto de operaciones legales en caso necesario. Por ejemplo, puede permitirse que el proceso A lea el archivo F, pero no escriba en él.

Para tener una forma de analizar los distintos mecanismos de protección, es conveniente presentar el concepto de dominio. Un dominio es un conjunto de parejas (objeto, derechos). Cada pareja determina un objeto y cierto subconjunto de las operaciones que se pueden llevar a cabo en el. Un derecho es, en este contexto, el permiso para realizar alguna de las operaciones.

Una pregunta importante es la forma en que el sistema lleva un registro de los objetos que pertenecen a un dominio dado. Al menos una teoría, uno puede imaginar una enorme matriz, en la que los renglones son los dominio y las columnas son los objetos. Cada cuadro contiene los derechos correspondientes al objeto en ese dominio. Con esta matriz y el número de dominio activo, el sistema puede determinar si se permite el acceso de cierta forma a un objeto dado desde un domino especifico.

Un dominio es un conjunto de parejas (objeto, derechos):

Cada pareja determina:

Un objeto.

Un subconjunto de las operaciones que se pueden llevar a cabo en él.

7) Matriz de acceso

El modelo de proteccion del sistema se puede ver en forma abstracta como una matriz, la matriz de acceso.

Una matriz de acceso es una representacion abstracta del concepto de dominio de proteccion.

Este modelo fue propuesto por Lampson [4] como una descripcion generalizada de mecanismos de proteccion en sistemas operativos. Es el modelo mas utilizado, del que existen numerosas variaciones, especialmente en su implementacion.

Los elementos basicos del modelo son los siguientes:

 

•  Sujeto: Una entidad capaz de acceder a los objetos. En general, el concepto de sujeto es equiparable con el de proceso. Cualquier usuario o aplicacion consigue acceder en realidad a un objeto por medio de un proceso que representa al usuario o a la aplicacion.

•  Objeto: Cualquier cosa cuyo acceso debe controlarse. Como ejemplo se incluyen los archivos, partes de archivos, programas y segmentos de memoria.

•  Derecho de acceso: la manera en que un sujeto accede a un objeto. Como ejemplo estan Leer, Escribir y Ejecutar.

El modelo considera un conjunto de recursos, denominados objetos, cuyo acceso debe ser controlado y un conjunto de sujetos que acceden a dichos objetos. Existe tambien un conjunto de permisos de acceso que especifica los diferentes permisos que los sujetos pueden tener sobre los objetos (normalmente lectura, escritura, etc., aunque pueden ser diferentes, en general, dependiendo de las operaciones que puedan realizarse con el objeto).

Se trata de especificar para cada pareja (sujeto, objeto), los permisos de acceso que el sujeto tiene sobre el objeto. Esto se representa mediante una matriz de acceso M que enfrenta todos los sujetos con todos los objetos. En cada celda M[i, j] se indican los permisos de acceso concretos que tiene el sujeto i sobre el objeto j.

La figura 6.3.2 representa una matriz de acceso, y la figura 6.3.3 es una matriz de acceso derivada de la figura 6.3.1 de dominios de protección.

Fig. 6.3.2 Representación de una m atriz de acceso

 

Figura 6.3.3 Ejemplo de una matriz de acceso

8) Políticas de Seguridad

Una política de seguridad en el ámbito de la criptografía de clave pública o PKI es un plan de acción para afrontar riesgos de seguridad, o un conjunto de reglas para el mantenimiento de cierto nivel de seguridad. Pueden cubrir cualquier cosa desde buenas prácticas para la seguridad de un solo ordenador, reglas de una empresa o edificio, hasta las directrices de seguridad de un país entero.

La política de seguridad es un documento de alto nivel que denota el compromiso de la gerencia con la seguridad de la información. Contiene la definición de la seguridad de la información bajo el punto de vista de cierta entidad.

Debe ser enriquecida y compatibilizada con otras políticas dependientes de ésta, objetivos de seguridad, procedimientos (véase referencias más adelante). Debe estar fácilmente accesible de forma que los empleados estén al tanto de su existencia y entiendan su contenido. Puede ser también un documento único o inserto en un manual de seguridad. Se debe designar un propietario que será el responsable de su mantenimiento y su actualización a cualquier cambio que se requiera.

9) Validaciones

• Identificar cada usuario que esta trabajando en el sistema (usando los recursos).

• Uso de contrasenas.

• Vulnerabilidad de contrasenas.

o Que sean complejas y dificiles de adivinar.

o Cambiarlas de vez en cuando.

o Peligro de perdida del secreto.

• La contrasena debe guardare cifrada.

10) Contraseñas

Las clases de elementos de autentificación para establecer la identidad de una persona son:

Algo sobre la persona:

Ej.: huellas digitales, registro de la voz, fotografia, firma, etc.

Algo poseido por la persona:

Ej.: insignias especiales, tarjetas de identificacion, llaves, etc.

Algo conocido por la persona:

Ej.: contrasenas, combinaciones de cerraduras, etc.

El esquema mas comun de autentificacion es la proteccion por contrasena:

El usuario elige una palabra clave , la memoriza, la teclea para ser admitido en el sistema computarizado:

La clave no debe desplegarse en pantalla ni aparecer impresa.

La proteccion por contrasenas tiene ciertas desventajas si no se utilizan criterios adecuados para:

Elegir las contrasenas.

Comunicarlas fehacientemente en caso de que sea necesario.

Destruir las contrasenas luego de que han sido comunicadas.

Modificarlas luego de algun tiempo.

Los usuarios tienden a elegir contrasenas faciles de recordar:

Nombre de un amigo, pariente, perro, gato, etc.

Numero de documento, domicilio, patente del auto, etc.

Estos datos podrian ser conocidos por quien intente una violacion a la seguridad mediante intentos repetidos, por lo tanto debe limitarse la cantidad de intentos fallidos de acierto para el ingreso de la contrasena.

La contrasena no debe ser muy corta para no facilitar la probabilidad de acierto.

Tampoco debe ser muy larga para que no se dificulte su memorizacion, ya que los usuarios la anotarian por miedo a no recordarla y ello incrementaria los riesgos de que trascienda.

11) Sistemas de Claves Públicas

El principio del cifrado asimétrico (también conocido como cifrado con clave pública) apareció en 1976, con la publicación de un trabajo sobre criptografía por Whitfield Diffie y Martin Hellman.En un criptosistema asimétrico (o criptosistema de clave pública), las claves se dan en pares:

Una clave pública para el cifrado;

Una clave secreta para el descifrado.En un sistema de cifrado con clave pública, los usuarios eligen una clave aleatoria que sólo ellos conocen (ésta es la clave privada). A partir de esta clave, automáticamente se deduce un algoritmo (la clave pública). Los usuarios intercambian esta clave pública mediante un canal no seguro.Cuando un usuario desea enviar un mensaje a otro usuario, sólo debe cifrar el mensaje que desea enviar utilizando la clave pública del receptor (que puede encontrar, por ejemplo, en un servidor de claves como un directorio LDAP). El receptor podrá descifrar el mensaje con su clave privada (que sólo él conoce).

12)Sistemas de Claves Privadas

El cifrado simétrico (también conocido como cifrado de clave privada o cifrado de clave secreta) consiste en utilizar la misma clave para el cifrado y el descifrado.

Cifrado simétrico con clave privada

El cifrado consiste en aplicar una operación (un algoritmo) a los datos que se desea cifrar utilizando la clave privada para hacerlos ininteligibles. El algoritmo más simple (como un OR exclusivo) puede lograr que un sistema prácticamente a prueba de falsificaciones (asumiendo que la seguridad absoluta no existe).

Sin embargo, en la década de 1940, Claude Shannon demostró que, para tener una seguridad completa, los sistemas de clave privada debían usar claves que tengan, como mínimo, la misma longitud del mensaje cifrado. Además, el cifrado simétrico requiere que se utilice un canal seguro para intercambiar la clave y esto disminuye en gran medida la utilidad de este tipo de sistema de cifrado.

La mayor desventaja de un criptosistema de clave secreta está relacionada con el intercambio de las claves. El cifrado simétrico se basa en el intercambio de un secreto (las claves). Surge, entonces, el problema de la distribución de las claves:

Así, un usuario que desea comunicarse con varias personas y garantizar al mismo tiempo niveles separados de confidencialidad debe utilizar el mismo número de claves privadas que de personas. Para un grupo de una cantidad N de personas que utilizan un criptosistema de clave secreta, es necesario distribuir una cantidad de claves equivalente a N* (N-1) / 2.

En la década de 1920, Gilbert Vernam y Joseph Mauborgne desarrollaron el método One-Time Pad (también conocido como "One-Time Password", abreviado OTP), basado en una clave privada generada de forma aleatoria que se usa sólo una vez y después se destruye. En el mismo período, el Kremlin y la Casa Blanca se comunicaban a través del famoso teléfono rojo, un teléfono que cifraba las llamadas mediante una clave privada que utilizaba el método one-time pad. La clave privada se intercambiaba a través de valija diplomática (que cumplía el papel de canal seguro).

13) Diseño de Sistemas Seguros

Para dotar a un sistema operativo con mecanismos de seguridad es necesario diseñarlo para que admitan estos mecanismos desde el principio. Incluir mecanismos de seguridad dentro de u sistema operativo existente es muy difícil porque las repercusiones de los mecanismos de seguridad afectan prácticamente a todos os elementos del sistema operativo.

Un sistema será confiable si el conjunto de mecanismos de protección, incluyendo hardware, software y firmware, proporciona una política de seguridad unificada en el sistema. 

Principios de diseño y aspectos de seguridad

Los criterios de diseño para dotar a un sistema operativo con mecanismos de seguridad son:

1. Diseño abierto. El diseño del sistema debería ser público para disuadir a posibles curiosos, recurriendo para ello a la reducción de aspectos ocultos al mínimo.

2. Exigir permisos. Es mejor identificar que objetos son a accesibles y cómo identificar los que no. De esta forma se tienen mecanismos para pedir permisos de acceso a todos 105 objetos. ,

3. Privilegios mínimos. Se les debe conceder únicamente la prioridad necesaria para llevar a cabo su tarea. Este principio permite limitar los daños en casos de ataques maliciosos.

4. Mecanismos económicos. Los mecanismos de protección deberían de ser sencillos, regulares y pequeños. Un sistema así se puede analizar, verificar, probar y diseñar fácilmente. ,

5. Intermediación completa. Cada intento de acceso al sistema debe ser comprobado, tanto los directos como los indirectos. Si se relaja este principio de diseño de forma que no se comprueben todos los accesos a un objeto, es necesario comprobar los permisos de los usuarios de forma periódica y no sólo cuando se accede al recurso por primera vez.

6. Comparición mínima. Los sistemas que usan la separación física o lógica de los usuarios permiten reducir el riesgo de comparición ilegal de objetos. La separación debe aplicarse cuidadosamente cuando se asignan a un usuario objetos libres que antes fueron de otro usuario, parar evitar que se conviertan en canales de comunicación encubiertos.

7. Fáciles de usar y aceptables. El esquema de protección debe ser aceptado por los usuarios y fácil de usar. Si un mecanismo es sencillo, y no es desagradable, existen menos posibilidades de que los usuarios traten de evitarlo.

8. Separación de privilegios. Si se quiere diseñar un sistema seguro, los accesos a cada objeto deben depender de más de un mecanismo de protección.

En general un sistema operativo multiprogramado lleva a cabo las siguientes tareas relacionadas con la seguridad del sistema:.

Autenticación de usuarios. En un sistema operativo debe existir un método seguro y fiable de identificar a los usuarios y cada usuario debe tener una identidad única.

Asignación de recursos. Los objetos de un 8.0 deben ser asignados a los procesos que los solicitan sin que hay conflictos, violaciones de normas de seguridad, problemas de comparición o fallos de confidencialidad a través de recursos reusables.

Control de accesos a los recursos del sistema. El dueño de un objeto tiene un cierto grado de libertad para establecer quién y cómo puede acceder a un objeto.

Control de la comparición y la comunicación entre procesos. Para que se puedan aplicar controles de acceso, hay que controlar todos los accesos, incluyendo la comunicación entre procesos y la reutilización de elementos.

Protección de datos del sistemade protección en sí mismo. Es necesario tener estos recursos bien protegidos para que el acceso a los mismos no facilite violaciones de seguridad.