02 - Security Architecture and Design v3

CISSP Security Training Security Architecture and Models
Security Architecture and Design
Agenda
Arquitectura de Computadoras Mecanismos de Proteccin Modos de Seguridad Modelos de Seguridad Guas de Evaluacin Certificacin & Acreditacin Ataques Referencias y Lecturas Complementarias Preguntas
CISSP Security Training - Security Architecture and Design
Arquitectura de Computadoras
Arquitectura de Computadoras
La Arquitectura de Computadoras es una disciplina de la Ingeniera, relacionada con el diseo y la construccin de sistemas de cmputo a nivel lgico. Para que una Arquitectura termine por ser segura, debe ser concebida de este modo.
Arquitectura de Computadoras (Cont.)

La Arquitectura de Computadoras comprende todas y cada una de las partes necesarias para que un sistema de computo funcione, esto incluye:
Sistema Operativo Chips de Memoria Circuitos Discos Duros Componentes de Seguridad Conexiones Bus Componentes de Networking Etc.

Hardware / Software Componentes principales de la plataforma de hardware en la Arquitectura de Computadoras:
CPU (Unidad Central de Procesamiento) Memoria Bus Connections Dispositivos de Entrada/ Salida (I/O) Dispositivos de Almacenamiento

CPU (Unidad Central de Procesamiento) La Unidad Central de Procesamiento, es un microprocesador que contiene:
Unidad de Control (CU) Unidad Aritmtico Lgica (ALU) Registros (Register)
Caractersticas principales de los Microprocesadores

Reducido SET de instrucciones MIPS (Millones de Instrucciones por Segundo)

Exterior
UC (Unidad de Control): La Unidad de Control es la encargada de gestionar y controlar el correcto funcionamiento de la Unidad de Proceso, indicando cuando una instruccin debe ser enviada al procesador. La UC no procesa datos, tan solo acta como agente de trnsito. UP (Unidad de Proceso): Formada por componentes tales como: la ALU, Registros, y buses.
UP
ALU
Seales
UC
CPU
Estructura Interna del Microprocesador
ALU (Unidad Aritmtico-Lgica): Encargada de llevar a cabo funciones matemticas y operaciones lgicas. Registros: Almacenan datos durante cierto tiempo, dentro la CPU. Bus: Conjunto de circuitos y conectores
Podramos decir que la ALU es el cerebro del procesador, y el procesador el cerebro de la computadora.

Aplicacin
add x + y = z x=3 y=2
Instrucciones
Datos
Memoria
Z=5
add x + y = z x=3 y=2
UC
UP
ALU
CPU
Regstros
1. 2. 3. 4. El software mantiene sus datos e instrucciones en memoria. Cuando una accin necesita ser tomada respecto de los datos, estos y sus instrucciones asociadas son pasados a la CPU. Una vez all los datos son colocados en registros de instrucciones, quedando a la espera de que la UC indique que es hora de que los mismos sean procesados. Finalmente los datos procesados son enviados nuevamente a la memoria de la computadora quedando estos disponibles para ser tratados por la aplicacin, con el objeto de que esta pueda continuar con su tarea. CISSP Security Training - Security Architecture and Design
Ciclo de Ejecucin de una Instruccin

Fetch
El CPU presenta la direccin de la prxima instruccin a ejecutar a la memoria CPU obtiene la instruccin localizada en la direccin definida
Execute
Decodificacin y Ejecucin
Este ciclo es controlado y sincronizado utilizando clock signals.

10
Ciclo de Ejecucin de una Instruccin (Cont.)
11
CPU States
La CPU, se encuentra siempre en alguno de los siguientes estados principales:
User State
En este estado, solo pueden ser ejecutadas instrucciones noprivilegiadas.
Supervisor State / Privileged Mode

En este estado, pueden ser ejecutadas tanto instrucciones no-privilegiadas como privilegiadas.
Nota: En realidad los estados de ejecucin pueden ser mas, dependiendo bsicamente de la arquitectura de sistemas subyacente.
12
Process States
Un proceso es un programa en ejecucin, el cual se encuentra compuesto de cdigo ejecutable, datos e informacin relativa su ejecucin. Un proceso trabaja en su propio espacio de direcciones y puede comunicarse con otros procesos, solo a travs de pasos autorizados por el sistema operativo.
13
Process State (Cont.)

Process State no es lo mismo que CPU States. Mientras que CPU State define el modo operativo de la CPU, Process State se refiere al modo en que los procesos se encuentran corriendo dentro de esta. El estado de los procesos o Process State, es particular de cada sistema operativo. Ready, Waiting, Running y Stopped son solo algunos de los estados mas comnmente encontrados.
14

Ready
El proceso esta disponible para ser utilizado y a la espera de una instruccin.
Waiting
El proceso est listo para continuar con su ejecucin, pero se encuentra a la espera de un dispositivo u otro tipo de requerimiento. (Ejemplo: Obtencin de datos desde el disco rgido, obtencin de un registro en BD)
Running
Las instrucciones del proceso estn siendo ejecutadas por la CPU.
Stopped
El proceso se encuentra detenido.
15
16
Mtodos de Mejora de Procesamiento

Pipelining
Aumenta la performance mediante la superposicin de las tareas de diferentes instrucciones
17
Mtodos de Mejora de Procesamiento (Cont.)

Complex-Instruction-Set-Computer (CISC)
Utiliza un conjunto de instrucciones que permiten realizar mltiples operaciones por instruccin (Pentium, Cyrix y AMD)
Reduced-Instruction-Set-Computer (RISC)
Utiliza instrucciones mas simples que requieren menos ciclos de procesamiento para ser ejecutadas (Power PC, Motorola y SPARC)
18

Cuando se ejecuta un programa difcil, o extenso, los CISC son ms rpidos y eficaces que los RISC. En cambio cuando se tiene en ejecucin un conjunto de instrucciones sencillas, cortas y simples, los RISC son ms rpidos.
19

Scalar Processor
Procesador que ejecuta una instruccin por vez.
Superscalar Processor
Procesador que permite la ejecucin de varias instrucciones en la misma etapa del pipeline, como as tambin en diferentes etapas de pipeline. (IBM RS/6000)
20

Very-Long Instruction-Word Processor (VLIW)
Procesador en el cual una instruccin especifica mas de una operacin concurrente.
21

Multitasking
Ejecucin de dos o mas tareas al mismo tiempo utilizando un solo CPU.
Coordinado por el SO (Windows 2000, Linux, OS/390, etc.)
22

Multiprogramming
Ejecucin simultnea de dos o ms programas utilizando un solo CPU.
A diferencia de lo que ocurre con Multitasking, cuya implementacin suele encontrarse en sistemas operativos de PC tales como Linux y Windows, Multiprogramming suele encontrarse generalmente en mainframes o sistemas legacy. Multitasking es normalmente coordinado por el sistema operativo, mientras que Multiprogramming requiere que el software se encuentre especialmente escrito para coordinar sus propias acciones a travs del sistema operativo.
23

Multiprocessing
Ejecucin simultnea de dos o ms programas en mltiples CPUs. SMP (Symmetric Multiprocessing)
Una computadora, con mas de un procesador, controlado por un solo sistema operativo (Bus de Datos y Memoria Compartidos).
MPP (Massively Parallel Processing)

Cientos o miles de procesadores, cada uno de los cuales utiliza su propio juego de recursos (sistema operativo, bus de datos y memoria).
24

Proceso VS Thread
Un proceso es un programa en ejecucin que posee su propio espacio de trabajo, y solo puede comunicarse con otro proceso de modo controlado. Un Thread en cambio, representa una pieza de cdigo que esta siendo ejecutada dentro de un proceso. Un proceso puede incluir uno o mas Threads.
25

Multithreading
Ejecucin de mltiples tareas al mismo tiempo utilizando un solo CPU. A diferencia de lo que ocurre con Multitasking donde las diferentes tareas ocupan diferentes procesos, Multithreading permite ejecutar varias tareas en un solo proceso.
Quizs un buen ejemplo de Multithreading, sea cuando abrimos varios documentos de Word, lo cual no genera mltiples instancias de Word, precisamente porque todas ellas corren en un solo proceso utilizando diferentes hilos.
26
Memorias
Cache Flash Memory RAM (Random Access Memory)
Dynamic Random Access Memory (DRAM) Extended Data Output RAM (EDO RAM) Synchronous DRAM (SDRAM) Double Data Rate SDRAM (DDR SDRAM) Burst Extended Data Output DRAM (BEDO DRAM)
ROM (Read Only Memory)

Programmable Read Only Memory (PROM) Erasable Programmable Read-Only Memory (EPROM) Electrically Erasable Programmable Read-Only Memory (EEPROM)
27
Memorias (Cont.)
Memoria Primaria (Real Memory Primary Storage)
Directamente accesible por la CPU y frecuentemente utilizada al momento de almacenar datos e instrucciones asociados con el programa que se encuentra en ejecucin. Generalmente RAM.
Memoria Secundaria (Secondary Storage)

Almacenamiento no voltil, mas lento que la memoria primaria. Ejemplo: Discos Rgidos, CDs, DVDs, Floppys.
28
Memorias (Cont.)
Memoria Virtual (Virtual Memory Virtual Storage)
Combinacin de memoria primaria y secundaria. Define un nico espacio de direccionamiento. Habilidad para extender el tamao aparente de la memoria RAM usando parte del disco rgido. (Swapping / Paging)
Concepto Asociado a Memorias: Voltil No Voltil
29
Memorias (Cont.)
Esquema de Jerarqua
CPU
Cache Primaria
CPU RAM = 200 ns CPU Hard Drive =12.000.000 ns
Secundaria
30
10
Direccionamiento de Memoria
Cuando se utilizan recursos de memoria, el procesador debe tener alguna forma de referirse a los diferentes lugares existentes dentro de ella. La solucin a este problema, se conoce como Direccionamiento por su termino en ingles Addressing.
31
Direccionamiento de Memoria (Cont.)

Por Registro (Register Addressing) Directo (Direct Addressing) Absoluto (Absolute Addressing) Indexado (Indexed Addressing) Implcito (Implied Addressing) Indirecto (Indirect Addressing)
32
Memory Protection
Previene el acceso de un programa al espacio de memoria reservado para otro programa Se implanta a nivel de sistema operativo o hardware
Memoria Memoria Memoria
Proceso
Proceso
Proceso
Proceso
Proceso
Proceso
Proceso
Aplicacion A
Aplicacion B
Aplicacion C
33
Proceso
11
Input / Output Structures

Input/Output (I/O) interface adapters
Permiten la comunicacin entre el procesador y los dispositivos externos
Memory-Mapped I/O Se otorga una direccin de memoria central al dispositivo Isolated I/O Una seal especial en el bus de comunicacin indica la ejecucin de una operacin de I/O. No utiliza memoria central Direct Memory Access (DMA) Data es transferida en forma directa desde y hacia la memoria, no requiere del CPU Interrupt Processing Una seal externa interrumpe el flujo normal del programa para requerir servicio
34
Bus
Bus : Circuitos impresos (o bien cables) que transmiten los
datos del microprocesador. de transmisin de datos : lneas fsicas por dnde circulan los datos que se han ledo o que se van a escribir (entrada/salida). de direcciones : lneas fsicas por dnde circulan las direcciones de memoria desde dnde se leern (entrada), o se escribirn (salida), los datos. de control : lneas fsicas por dnde circulan las rdenes de control (entrada/salida).
35
Sistema Operativo
El Sistema Operativo es el software principal de toda plataforma de computo. Este es cargado en la computadora por medio de un programa denominado Boot, nombre con el que solemos referirnos al proceso responsable de la carga del sistema operativo. Grandes computadoras o mainframes, utilizan una secuencia boot conocida como IPL (Initial Program Load). Durante toda secuencia de booteo, un pequeo programa es cargado en memoria, el cual una vez inicializado realiza la carga total del sistema operativo.
36
12
Sistema Operativo (Cont.)

Una vez en ejecucin, el sistema operativo es el responsable de controlar varios subsistemas tales como las utilidades de software, aplicaciones, sistemas de archivos, control de acceso, etc. Todo sistema operativo persigue dos objetivos primarios:
Controlar el uso de los sistemas y recursos. Proveer de una interfaz entre usuario y computadora.
37
Sistemas Abiertos y Cerrados

Los sistemas pueden ser desarrollados de forma tal de que resulte sencilla su integracin con otros sistemas (Open), o pueden ser desarrollados con una naturaleza mas propietaria (Closed) construidos para funcionar solo con un sub-grupo de otros sistemas o productos
Sistemas Abiertos
Vendor-independent Especificaciones pblicas/ Interfaces disponibles Sujeto a revisiones independientes
Sistemas Cerrados
Sistema propietario Usualmente no compatible Puede tener vulnerabilidades no conocidas/publicadas
38
Algunos Conceptos
Subject: Sujeto, Personas, Asunto, Proceso.
Entidad Activa.
Object: Objeto, Informacin, Dato.

Entidad Pasiva.
Clearance: Acreditacin del Sujeto. Classification: Clasificacin del Objeto.
39
13
Mecanismos de Proteccin
Trusted Computing Base (TCB) Reference Monitor Security Kernel
40
Mecanismos de Proteccin (Cont.)

Trusted Computing Base (TCB)
Combinacin de todos los mecanismos de seguridad dentro de un sistema (Hardware + Software + Firmware).
41

Reference Monitor
Modelo abstracto que define las reglas para evaluar si los sujetos puede en funcin de sus credenciales acceder a los objetos clasificados. Controla el acceso de sujetos (Subject, Sujeto, Asunto, Personas) a recursos (Object, Objeto, Informacin). Concepto abstracto, implementado en Security Kernel.
42
14

Security Kernel
Parte del TCB que implementa y asegura el concepto del Reference Monitor. Se compone de hardware, firmware y software. Analiza todos los intentos de acceso de los sujetos a los objetos. Es responsable por mediar entre los accesos de sujetos a objetos; estar protegido de modificaciones; ser verificable como correcto.
43

Requerimientos para el Security Kernel
Aislamiento del proceso. Intermediario. Imposible de esquivar. De funcionamiento verificable. Pequeo para ser verificado en su totalidad en forma confiable.
44
Security Kernel
45
15

Protection Domain
Conjunto de objetos que un sujeto es capaz de acceder. Los dominios deben ser identificados, separados y asegurados.
Security Perimeter
Lnea que separa el TCB del resto del sistema (Todos los elementos que se encuentra ms all del control de TCB se los denomina externos al permetro de seguridad).
Resource Isolation
Principio que dicta que sujetos, objetos y controles; deben encontrarse correctamente aislados unos de otros. Requerimiento bsico de toda arquitectura y modelo de seguridad.
46

Protection Rings
Se organizan con el dominio mas privilegiado localizado en el anillo del centro y el de menor privilegio en el anillo mas alejado del mismo. En el anillo 0 usualmente se encuentra el Kernel del sistema operativo. Un sujeto en el anillo 3, no puede acceder directamente un objeto situado en el anillo 1, pero un sujeto en el anillo 1 si puede acceder directamente un objeto situado en el anillo 3. Las entidades, solo pueden acceder objetos dentro de su propio anillo o a uno superior.
47
Proteccin Rings
48
16

Layering
Concepto bsico del diseo de sistemas operativos.
49

Data Hiding
Importante caracterstica de la seguridad multinivel. Este principio asegura que los datos existentes en un nivel de seguridad, no son visibles a procesos que se ejecutan en un nivel diferente. El concepto clave detrs de Data Hiding, es el de asegurar que quienes no tengan Need-to-Know respecto del detalle involucrado en el acceso y procesamiento de datos en un determinado nivel, no tenga forma de deducir, observar u aprender el mismo.
50
Modos de Seguridad
17
Modos de Seguridad
Histricamente, los requerimientos de seguridad han sido satisfechos por medio del uso contramedidas relacionadas con aspectos fsicos, de las personas, y de la informacin en si misma. Con los avances en tecnologa, es posible implementar contramedidas, ya no solo en el entorno, sino tambin en el mismo sistema. El gobierno de los EEUU ha designado cuatro modos de seguridad a partir de los cuales puede ser posible procesar informacin clasificada.
52
Modos de Seguridad (Cont.)

El modo de operacin, describe las condiciones de seguridad bajo las cuales el sistema realmente debe funcionar. Un sistema puede operar en diferentes modos, dependiendo de la sensibilidad de los datos que en el mismo han de ser procesados, el nivel de separacin de los usuarios (Clearance Level Clasificacin de la Informacin) y lo que estos usuarios se encuentran en condiciones de hacer. El nivel o modo de seguridad de computo requerido en un sistema, depende de la evaluacin del riesgo y la naturaleza del entorno.
53
Need-to-Know
Need-to-Know Access (Otorgar acceso solo a lo necesario) Esquema de autorizacin de acceso, en el cual los derechos de acceso a un objeto por parte de un sujeto, son otorgados tomando en consideracin, no solo el nivel de privilegio que el mismo posee, sino tambin la relevancia del dato involucrado en la tarea que el sujeto debe realizar. Need-to-Know indica que el sujeto requiere acceso al objeto a fin de poder realizar su trabajo. Aun teniendo el nivel de privilegio adecuado, quienes no tengan Need-to-know, no deben ser capaces de acceder el objeto en cuestin.
54
18

Dedicated Security Mode System High Security Mode Multi-Level Security Mode (MLS) Compartmentalized Security Mode (Partitioned)
55

Dedicated Security Mode
Todos los usuarios estn autorizados y tienen need-toknow de la informacin que es procesada por el sistema.
Muchos sistemas militares han sido diseados para manejar un nivel de seguridad en modo dedicado. En este modelo, cada uno de los usuarios que acceden al sistema debe poseer un alto nivel de clearance. Si un sistema maneja informacin clasificada como TOP SECRET, solo usuarios con este clearance level podrn acceder el mismo.
56

System High Security Mode
Todos los usuarios del sistema tienen permitido y aprobado la posibilidad de ver la informacin dentro del sistema, pero no necesariamente necesitan conocer la misma (tpicamente militar).
La diferencia entre Dedicated Security Mode y System High Security Mode, es que en el primero todos los usuarios tienen need-to-know sobre todos los datos del sistema, mientras que en System High Security Mode, todos los usuarios tienen need-to-know sobre ALGUNOS de los datos. Al igual que en el modelo anterior, en este cada uno de los usuarios que acceden al sistema debe poseer un alto nivel de clearance, sin embargo un usuario puede tener acceso restringido a informacin para la cual no tiene need-toknow.
57
19

Multi-Level Security Mode (MLS)
Este modo de operacin, permite que dos o mas niveles de clasificacin, sean utilizados en forma simultanea.
No todo el personal que tiene acceso al sistema tiene la aprobacin ni la necesidad de conocer para toda la informacin dentro del sistema.
58

Compartmentalized Security Mode (Partitioned) Un sistema se encuentra operando en Compartmented Security Mode, cuando todos los usuarios tienen clearance respecto de la totalidad de la informacin procesada por el sistema, pero no todos tienen la need-to-know.
En este modo, se establecen restricciones de acceso a los usuarios, sobre la porcin de informacin para la que no existe need-to-know. De esta forma, los usuarios terminan accediendo nicamente a un segmento, particin o compartment de datos. En un sistema acorde al Compartmentalized Security Mode, algunos necesitan conocer la informacin, otros no. Los usuarios del sistema deben cumplir con los requerimientos para el rea o particin a la que desean acceder.
59

Cuadro Resumen Clearance/Need-to-Know
Modo
Dedicated System High Compartmented Multilevel
Clearance
== == == Diferente
Need-to-Know
No SI SI SI
NDA
SI SI SI SI
* Si no aplica, el valor asignado a Need-to-Know es NO. Por el contrario, si el acceso es limitado por restricciones del tipo Need-to-Know, este valor es SI.
60
20
Modelos de Seguridad
Modelos de Seguridad
Los modelos de seguridad son un concepto importante en el anlisis y diseo de sistemas de computo seguro. Un modelo de seguridad, provee un framework dentro del cual puede ser implementada una poltica de seguridad. Un modelo de seguridad, define los lineamientos necesarios para implementar y soportar la poltica de seguridad.
62
Modelos de Seguridad (Cont.)

Mientras que una poltica de seguridad es generalmente un conjunto de directivas o intenciones abstractas, un modelo de seguridad representa exactamente el modo en el cual la poltica debera ser implementada. Un modelo de seguridad, a su vez provee los lineamientos y directivas ue deben cumplir los desarrollos de hardware y software, motivo por el cual solemos referirnos a estos como la representacin simblica de una poltica de seguridad en un conjunto de reglas que pueden ser seguidas por una computadora.
63
21
En resumen Las polticas de seguridad proveen los objetivos abstractos y el modelo de seguridad provee las reglas necesarias para cumplir con dichos objetivos.
64

Implementacin En la actualidad, los modelos formales de seguridad han quedado algo relegados respecto de la cambiante dinmica de negocios con la cual convivimos a diario. En rigor de verdad, si bien los mismos an permiten establecer parmetros generales, a nivel prctico solo pueden ser implementados parcialmente.
(Conceptos tales como: Firewall, Troyanos o Worms, no se encuentran contemplados en los denominados modelos formales)
65

Bell-LaPadula Biba Clark & Wilson Otros Modelos
Brewer & Nash - Chinese Wall (Muralla China) Lattice (Enrejado) State machine (Mquina de estados) Information flow (Flujo de informacin) Non-interference (No-interferencia) Access Matrix (Matriz de accesos)
66
22
Bell-LaPadula
Descripcin formal de los flujos de informacin permitidos dentro de un sistema seguro. Se utiliza para definir requerimientos de seguridad para sistemas que deben administrar datos a diferentes niveles de sensitividad. *-Property (propiedad estrella) previene el write-down, Sujetos pertenecientes a niveles de acceso superiores no pueden escribir informacin en objetos de niveles de sensitividad inferiores. Evita el filtrado de informacin sensitiva a niveles menos seguros.
67
Bell-LaPadula (Cont.)
68
El modelo define un estado seguro (secure state)
El acceso entre sujetos y objetos respeta una poltica de seguridad especfica.
TCSEC es una implantacin de Bell-LaPadula Bell-LaPadula solo aplica a la sensitividad (nivel de confidencialidad/secreto) de la informacin. Tal vez el modelo mas representativo respecto de ambientes militares.
69
23
Resumen: Bell-LaPadula Orientado a mantener la confidencialidad. Reglas de Operacin:
simple-rule (no read up) = espionaje *-rule (no write down) = divulgacin strong-*-rule : si se posee la capacidad de read y write slo se pueden realizar estas funciones en el mismo nivel.
70
Biba Integrity Model

El modelo Biba cubre niveles de integridad, los cuales son anlogos a los niveles de sensitividad del modelo Bell-LaPadula. Los niveles de integridad cubren la modificacin inapropiada de datos. Tal vez el modelo mas representativo respecto de ambientes comerciales.
71
Biba Integrity Model (Cont.)

Previene que usuarios no autorizados realicen modificaciones (1er objetivo de integridad) Modelo Read Up, Write Down Los sujetos no pueden leer objetos de integridad inferior, y no pueden escribir objetos de integridad superior.
72
24
73

Biba
Bell-LaPadula
74

Resumen: Biba Orientado a asegurar la Integridad Reglas de Operacin:
simple-rule: no read down = evitar las fuentes dudosas. *-rule: no write up = no contaminar otros documentos.
75
25
Modelo Clark & Wilson

Al igual que Biba, este modelo se encuentra orientado a proteger la integridad de la informacin. Cumple con los principales objetivos de un modelo de integridad:
Previene las modificaciones por parte de usuarios no autorizados. (T Tamper). Previene que usuarios autorizados realicen modificaciones inapropiadas. Mantiene la consistencia interna y externa. (C Consistencia)
Refuerza el concepto de auditoria.

Todas las las modificaciones deben ser registradas (L - Logged)
76
Modelo Clark & Wilson (Cont.)

Propone Well Formed Transactions
Una WFT no es mas que una serie de operaciones que permiten la transferencia de datos de un estado seguro a otro estado seguro. Algunos de los principios relacionados con WFT son:
Ejecucin de tareas en forma ordenada. Ejecucin exacta de las tareas definidas. Autenticacin de los individuos que ejecutan las tareas.
El modelo Clark & Wilson, incorpora la separacin de tareas (separation of duties) dentro de la arquitectura de una aplicacin. Es decir, provee las reglas que los desarrolladores deben seguir a efectos de reforzar este principio a travs de procedimientos de software.
77
Users: Agente Activo TPs: Procedimiento de Transformacin CDIs: Constrained data items UDIs: Unconstrained data items IVPs: Integrity Verification Procedures
78
26

Resumen: Clark & Wilson Orientado a asegurar la Integridad Conceptos Clave:
Access Triple = Subject Application (SW) Auditing = Aplicacin logueando accesos Separation of Duties = Separacin de tareas. Object
79
Otros Modelos Brewer & Nash

Brewer & Nash - Chinese Wall (Muralla China) Creado para proveer un tipo de control de acceso, capaz de cambiar dinmicamente dependiendo de acciones previas realizadas por el usuario Su principal objetivo es el de prevenir el conflicto de intereses.
Escenario: Una gran compaa de Marketing que provee campaas y materiales promocionales para dos importantes bancos. Un empleado trabajando en el proyecto del banco A, no debera tomar conocimiento del material de proyecto en el que otro empleado se encuentra trabajando para el banco B.
Reglas de Operacin:
simple-rule: Un sujeto puede leer un objeto si slo si, no puede escribir en otros objetos que entren en conflicto con el primero. *-rule: Un sujeto puede escribir en un objeto si no ha ledo los datos de otros objetos que entren en conflicto con el primero.
80
Otros Modelos Lattice (Enrejado)

Lattice (Enrejado) Fuerza el concepto de need-to-know.
Reglas de Operacin:
Los objetos se clasifican por nivel y rea (Dominio) Los sujetos poseen acreditacin por nivel y dominio de inters (Need-to-know). Los sujetos pueden acceder a los objetos si y solo si:
Sujeto.Nivel > o = Objeto.Nivel Sujeto.Dominio incluye a Objeto.Dominio
El modelo plantea el acceso basado en los conceptos de least upper bound (menor limite superior) y greatest lower bound (limite inferior mas alto), a partir de los cuales se aplica el control de acceso mas restringido.
81
27
Otros Modelos Lattice (Enrejado) (Cont.)

Kathy Security Clearance TS{Iraq,Korea}
Reglas de Operacin: simple-rule (no read up) = espionaje *-rule (no write down) = divulgacin strong-*-rule : si se posee la capacidad de read y write slo se pueden realizar estas funciones en el mismo nivel.
82
Otros Modelos State Machine

Modelo de mquina de estados (State Machine Model) Modelo matemtico abstracto que se compone de variables de estado y funciones de transicin entre estados. La mayora de los modelos formales de seguridad, incluyendo Bell-LaPadula y Biba, se consideran derivados de este modelo.
83
Otros Modelos Information Flow

Modelo de flujo de informacin (Information Flow Model) Simplifica el anlisis de covert channels. Cuando Information Flow Model es utilizado, un sistema es seguro si todo flujo de informacin ilegal no es permitido.
Bell-LaPadula es un modelo de IF que asegura que la informacin no pueda fluir de un compartimiento a otro en forma que afecte la confidencialidad. Biba define compartimientos de datos basado en niveles de integridad, implementando de este modo, un modelo de IF que proteja la integridad de la informacin mas confiable.
84
28
Otros Modelos No-Interferencia

Modelo de no-interferencia (Non-interference Model) Cubre aquellos casos en los que se necesita prevenir que sujetos que operan en un determinado dominio puedan afectarse entre s violando la poltica de seguridad (Actividades realizadas sobre un nivel de seguridad no deberan afectar o ser vistas, por sujetos u objetos en un nivel de seguridad diferente). De utilizacin tpica en sistemas multi-nivel. Su principal propsito no es otro que el de combatir ataques de inferencia y de covert channels.
85
Otros Modelos Matriz de Accesos

Modelo de Matriz de Accesos (Access Matrix Model)
Es un modelo de mquina de estados aplicado a un ambiente DAC (Discretionary Access Control). Decisiones de acceso, son basadas en ACLs de objetos y tablas de capacidades del sujeto.
86
Otros Modelos Matriz de Accesos (Cont.)
87
29
Modelos de Seguridad - Resumen

Cuadro Resumen Integridad/Confidencialidad
Modelo
Bell-LaPadula Biba Clark-Wilson Access Control List
Directiva Primaria
Confidencialidad Integridad Integridad Intenta ambos
88
Guas de Evaluacin
Guas de Evaluacin
El proceso de determinar cuan seguro es un sistema puede ser una tarea difcil. Las organizaciones necesitan mtodos para evaluar el grado de seguridad otorgado por tal o cual sistema, y de este modo determinar si el mismo resuelve los requisitos impuestos por la poltica de seguridad implementada. Una gua de evaluacin, debera ser lo suficientemente general en sus principios, de modo tal que la misma sirva a los efectos de comparar diferentes tipos de sistemas y otorgar a los mismos una clasificacin de acuerdo al nivel de seguridad que presentan.
90
30
Guas de Evaluacin (Cont.)

Inicialmente, el concepto detrs de la confeccin de una Gua de Evaluacin, se encuentra ntimamente relacionado con la necesidad por parte de las agencias de seguridad, el gobierno, y las organizaciones privadas, de conocer el nivel o grado de seguridad, existente en los diferentes sistemas, aplicaciones o productos al momento de efectuar una compra o contratacin.
91
Guas de Evaluacin
TCSEC Trusted Computer Systems Evaluation Criteria Orange Book ITSEC - Information Technology Security Evaluation Criteria (Europa) CTCPEC - Canadian Trusted Computer Product Evaluation Criteria Common Criteria
92
TCSEC
En 1985 el National Computer Security Center (NCSC), desarrolla para el Departamento de Defensa de los EEUU (DoD), un conjunto de estndares, los cuales resultan en la creacin de TCSEC (Trusted Computer System Evaluation Criteria). El principal objetivo detrs de la creacin de TCSEC es el de proveer al gobierno y entidades relacionadas, con un guideline que les permitiera evaluar los productos ofrecidos por los diferentes proveedores, para cada uno de los criterios de seguridad especificados.
93
31
TCSEC (Cont.)
TCSEC == Orange Book TCSEC provee:
Una base para establecer requisitos de seguridad en las especificaciones de adquisicin. Un estndar de los servicios de seguridad que deben ser proporcionados por los vendedores para los diferentes criterios de seguridad existentes. Una forma de medir la seguridad de un sistema de informacin. TCSEC direcciona confidencialidad. No integridad. La funcionalidad de los mecanismos de seguridad y el Assurance de los mismos, NO son evaluados en forma separada.
94
TCSEC (Cont.)
D - Minimal protection C - Discretionary Protection C1 Usuarios cooperativos que pueden proteger su propia informacin C2 DAC ms granular, se puede auditar al usuario/ proceso individualmente (individual accountability) Windows NT 4.0/ 2000 (bajo ciertas condiciones) Novell Netware B - Mandatory Protection (Bell-LaPadula, RM, Security Labels Requeridas ) B1 Labeled Security Protection (Process Isolation!) B2 Structured Protection (Covert Channels!) B3 Security Domains A - Verified Protection (Direcciona seguridad a nivel Top Secret) A1 Verified Design
95
ITSEC
ITSEC (Information Technology Security Evaluation Criteria) Desarrollado en Europa como estndar nico de evaluacin de la seguridad en sistemas. Evala Funcionalidad y Seguridad (Assurance) en forma separada.
Effectiveness = Hacen lo que se espera que haga. Correctiveness = Que tan correcto es el proceso por el cual lo hacen.
Clasificaciones por: F1-F10 Niveles de Funcionalidad. E0-E6 Niveles de Assurance. ITSEC direcciona Integridad, Disponibilidad y Confidencialidad. ITSEC se ocupa de evaluar sistemas en red mietras que TCSEC solo hace lo propio con sistemas stand-alone.
96
32
Common Criteria (CC)

Creado por el ISO en 1993. Creado a partir de TCSEC, ITSEC, Canadian Trusted. Computer Product Evaluation Criteria (CTCPEC) y el Federal Criteria. Provee mas flexibilidad que TCSEC e ITSEC.
97
Componentes del Common Criteria (CC)

Protection Profile (PP)
Descripcin de las necesidades de seguridad de un producto.
Target of Evaluation (TOE)

Producto que se propone evaluar.
Security Target (ST)

Descripcin escrita por el proveedor explicando las funcionalidades de seguridad (que hace?) y mecanismos de assurance que cumplen los requerimientos de seguridad (como lo hace?).
98
Componentes del Common Criteria (Cont.)

Packages Evaluation Assurance Levels (EAL)
Los requerimientos Funcionales (definen el comportamiento del producto relacionado con la seguridad) y de Assurance (establece el nivel de confianza en el producto) son reunidos en paquetes para ser reutilizados. Describen los requisitos a cumplir para alcanzar cada nivel EAL especfico.
99
33
Package Ratings Evaluations Ratings

EAL 1 Functionally tested EAL 2 Structurally tested EAL 3 Methodically tested and checked EAL 4 Methodically designed, tested and reviewed EAL 5 Semiformally designed and tested EAL 6 Semiformally verified design and tested EAL 7 Formally verified design and tested
Basic Assurance
Medium Assurance High Assurance
100
Certificacin & Acreditacin
Certificacin & Acreditacin

Procedimientos y Juicios que determinan si un sistema se encuentra en condiciones para operar en un ambiente operativo determinado (suitability). La certificacin considera al sistema dentro del ambiente operativo. La acreditacin refiere a la decisin oficial de la gerencia relacionada con la operacin del sistema en el ambiente especificado.
102
34
Certificacin & Acreditacin (Cont.)
Certificacin Evaluacin tcnica mediante la cual se revisan los mecanismos y controles de seguridad, con el objeto de evaluar su efectividad. Acreditacin Aceptacin oficial de los resultados de una certificacin.
103
Amenazas - Ataques
Amenazas
Covert Channels Timing Attacks Radiacin Electromagntica
105
35
Covert Channels
Un canal de comunicacin que permite la transferencia de informacin entre dos procesos violando la poltica de seguridad del sistema. Producto de:
Descuido en el desarrollo del producto. Implementacin no apropiada de control de acceso. Existencia de un recurso compartido entre dos entidades. Instalacin de un Caballo de Troya.
Covert Storage Channel involucra uso de memoria compartida entre los dos procesos. Covert Timing Channel involucra la modulacin del uso de un recurso del sistema (por ejemplo CPU).
106
Timing Attacks / Asynchronous Attacks

Timing Attacks Asynchronous Attacks
Buscan tomar ventaja en el paso del tiempo entre dos eventos diferentes. Time of Check / Time of Use (TOC/TOU)
El ataque ocurre por ejemplo, entre el momento en el que se revisa un archivo determinado y el momento en que se lo utiliza. Un usuario se logue en el sistema por la maana y es despedido por la tarde. Por seguridad, el administrador remueve el usuario de la base de datos, pero si el usuario en cuestin no es obligado a hacer el log off, aun podr seguir accediendo por algn tiempo a los recursos de la compaa.
CISSP Security Training - Security Architecture and Design ~
107
Radiacin Electromagntica
Simplemente debido a las clases de componentes electrnicos con los cuales se construyen, muchos dispositivos de hardware emiten radiacin electromagntica durante su operacin. En ciertas circunstancias estas emanaciones pueden ser interceptadas y las secuencias de teclado reconstruidas. Tambin es posible detectar y leer paquetes de red en forma pasiva, a lo largo de un segmento de la red.
108
36
Referencias y Lecturas Complementarias
Referencias y Lecturas Complementarias

CISSP All-in-One Exam Guide, Third Edition (All-in-One)
By Shon Harris (McGraw-Hill Osborne Media) ISBN: 0072257121
Official (ISC)2 Guide to the CISSP Exam

By Susan Hansche (AUERBACH) ISBN: 084931707X
The CISSP Prep Guide: Gold Edition

By Ronald L. Krutz, Russell Dean Vines (Wiley) ISBN: 047126802X
CISSP Certification Training Guide

By Roberta Bragg (Que) ISBN: 078972801X
CCCure.Org WebSite: http://www.cccure.org

By Clement Dupuis
Advanced CISSP Prep Guide: Exam Q&A

By Ronald L. Krutz, Russell Dean Vines (Wiley) ISBN: 0471236632
Information Security Management Handbook, Fifth Edition By Harold F. Tipton, Micki Krause (Que) ISBN: 0849319978 CISSP: Certified Information Systems Security Profesional Study Guide, Third Edition
By James M. Stewart, Ed Tittel, Mike Chapple (Sybex) ISBN: 0782144438
110
Preguntas?
37

02 - Security Architecture and Design v3

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

02 - Security Architecture and Design v3

Uploaded by

Copyright:

Available Formats

CISSP Security Training Security Architecture and Models

Security Architecture and Design

CISSP Security Training - Security Architecture and Design

Security Architecture and Design

CISSP Security Training Security Architecture and Models

CISSP Security Training - Security Architecture and Design

Arquitectura de Computadoras (Cont.)

CISSP Security Training - Security Architecture and Design

Arquitectura de Computadoras (Cont.)

CISSP Security Training - Security Architecture and Design

CISSP Security Training Security Architecture and Models

Arquitectura de Computadoras (Cont.)

Caractersticas principales de los Microprocesadores

Arquitectura de Computadoras (Cont.)

CISSP Security Training - Security Architecture and Design

Arquitectura de Computadoras (Cont.)

CISSP Security Training Security Architecture and Models

Ciclo de Ejecucin de una Instruccin

Este ciclo es controlado y sincronizado utilizando clock signals.

Ciclo de Ejecucin de una Instruccin (Cont.)

CISSP Security Training - Security Architecture and Design

Supervisor State / Privileged Mode

CISSP Security Training - Security Architecture and Design

CISSP Security Training Security Architecture and Models

CISSP Security Training - Security Architecture and Design

Process State (Cont.)

CISSP Security Training - Security Architecture and Design

Process State (Cont.)

CISSP Security Training Security Architecture and Models

Process State (Cont.)

CISSP Security Training - Security Architecture and Design

Mtodos de Mejora de Procesamiento

CISSP Security Training - Security Architecture and Design

Mtodos de Mejora de Procesamiento (Cont.)

CISSP Security Training - Security Architecture and Design

CISSP Security Training Security Architecture and Models

Mtodos de Mejora de Procesamiento (Cont.)

CISSP Security Training - Security Architecture and Design

Mtodos de Mejora de Procesamiento (Cont.)

CISSP Security Training - Security Architecture and Design

Mtodos de Mejora de Procesamiento (Cont.)

CISSP Security Training - Security Architecture and Design

CISSP Security Training Security Architecture and Models

Mtodos de Mejora de Procesamiento (Cont.)

CISSP Security Training - Security Architecture and Design

Mtodos de Mejora de Procesamiento (Cont.)

Mtodos de Mejora de Procesamiento (Cont.)

MPP (Massively Parallel Processing)

CISSP Security Training Security Architecture and Models

Mtodos de Mejora de Procesamiento (Cont.)

CISSP Security Training - Security Architecture and Design

Mtodos de Mejora de Procesamiento (Cont.)

CISSP Security Training - Security Architecture and Design

ROM (Read Only Memory)

CISSP Security Training Security Architecture and Models

Memoria Secundaria (Secondary Storage)

CISSP Security Training - Security Architecture and Design

Concepto Asociado a Memorias: Voltil No Voltil

CISSP Security Training - Security Architecture and Design

CISSP Security Training - Security Architecture and Design

CISSP Security Training Security Architecture and Models

CISSP Security Training - Security Architecture and Design

Direccionamiento de Memoria (Cont.)

CISSP Security Training - Security Architecture and Design