Unidad7

Sistemas Operativos I Unidad 7

Unidad 7
Introducción a la Seguridad de los Sistemas Operativos

La evolución de la computación y de las comunicaciones en las últimas décadas [7, Deitel]:

• Ha hecho más accesibles a los sistemas informáticos.
• Ha incrementado los riesgos vinculados a la seguridad.

La vulnerabilidad de las comunicaciones de datos es un aspecto clave de la seguridad de los
sistemas informáticos; la importancia de este aspecto es cada vez mayor en función de la
proliferación de las redes de computadoras.

El nivel de criticidad y de confidencialidad de los datos administrados por los sistemas
informáticos es cada vez mayor:

• Ej.: correo personal, transferencia de fondos, control de manufactura, control de
sistemas de armas, control de tráfico aéreo, control de implantes médicos
(marcapasos, etc.).
• Los sistemas deben funcionar ininterrumpidamente y sin problemas.

El sistema operativo, como administrador de los recursos del sistema:

• Cumple una función muy importante en la instrumentación de la seguridad.
• No engloba a todos los aspectos de la seguridad.
• Debe ser complementado con medidas externas al S. O.

La simple seguridad física resulta insuficiente ante la posibilidad de acceso mediante equipos
remotos conectados.

La tendencia es que los sistemas sean más asequibles y fáciles de usar, pero la favorabilidad
hacia el usuario puede implicar un aumento de la vulnerabilidad.

Se deben identificar las amenazas potenciales, que pueden proceder de fuentes maliciosas o
no.

El nivel de seguridad a proporcionar depende del valor de los recursos que hay que asegurar.

Requisitos de Seguridad

Los requisitos de seguridad de un sistema dado definen lo que significa la seguridad, para
ese sistema [7, Deitel].

Los requisitos sirven de base para determinar si el sistema implementado es seguro:

• Sin una serie de requisitos precisos tiene poco sentido cuestionar la seguridad de un
sistema.
• Si los requisitos están débilmente establecidos no dicen mucho sobre la verdadera
seguridad del sistema.

Universidad Autónoma de Nayarit 1

Algunos ejemplos de formulación de los requisitos de seguridad son los siguientes:

• Directiva DOD 5200.28 (EE. UU.):
o Especifica cómo debe manipularse la información clasificada en sistemas de
procesamiento de datos.
• Manual de Referencia de Tecnología de Seguridad de la Computadora (EE. UU.):
o Especifica cómo evaluar la seguridad de los sistemas de computación de la
Fuerza Aérea.
• Ley de Intimidad de 1974 (EE. UU.):
o Requiere que las Agencias Federales aseguren la integridad y seguridad de la
información acerca de los individuos, especialmente en el contexto del amplio
uso de las computadoras.

Un Tratamiento Total de la Seguridad

Un tratamiento total incluye aspectos de la seguridad del computador distintos a los de la
seguridad de los S. O. [7, Deitel].

La seguridad externa debe asegurar la instalación computacional contra intrusos y desastres
como incendios e inundaciones:

• Concedido el acceso físico el S. O. debe identificar al usuario antes de permitirle el
acceso a los recursos: seguridad de la interfaz del usuario.

La seguridad interna trata de los controles incorporados al hardware y al S. O. para asegurar
la confiabilidad, operabilidad y la integridad de los programas y datos.

Seguridad Externa y Seguridad Operacional

Seguridad Externa

La seguridad externa consiste en [7, Deitel]:

• Seguridad física.
• Seguridad operacional.

La seguridad física incluye:

• Protección contra desastres.
• Protección contra intrusos.

En la seguridad física son importantes los mecanismos de detección, algunos ejemplos son:

• Detectores de humo.
• Sensores de calor.
• Detectores de movimiento.


La protección contra desastres puede ser costosa y frecuentemente no se analiza en detalle;
depende en gran medida de las consecuencias de la pérdida.

La seguridad física trata especialmente de impedir la entrada de intrusos:

• Se utilizan sistemas de identificación física:
o Tarjetas de identificación.
o Sistemas de huellas digitales.
o Identificación por medio de la voz.

Seguridad Operacional

Consiste en las diferentes políticas y procedimientos implementados por la administración de
la instalación computacional [7, Deitel].

La autorización determina qué acceso se permite y a quién.

La clasificación divide el problema en subproblemas:

• Los datos del sistema y los usuarios se dividen en clases:
o A las clases se conceden diferentes derechos de acceso.

Un aspecto crítico es la selección y asignación de personal:

• La pregunta es si se puede confiar en la gente.
• El tratamiento que generalmente se da al problema es la división de
responsabilidades:
o Se otorgan distintos conjuntos de responsabilidades.
o No es necesario que se conozca la totalidad del sistema para cumplir con esas
responsabilidades.
o Para poder comprometer al sistema puede ser necesaria la cooperación entre
muchas personas:
Se reduce la probabilidad de violar la seguridad.
o Debe instrumentarse un gran número de verificaciones y balances en el
sistema para ayudar a la detección de brechas en la seguridad.
o El personal debe estar al tanto de que el sistema dispone de controles, pero:
Debe desconocer cuáles son esos controles:
Se reduce la probabilidad de poder evitarlos.
Debe producirse un efecto disuasivo respecto de posibles intentos de
violar la seguridad.

Para diseñar medidas efectivas de seguridad se debe primero:

• Enumerar y comprender las amenazas potenciales.
• Definir qué grado de seguridad se desea (y cuánto se está dispuesto a gastar en
seguridad).
• Analizar las contramedidas disponibles.


Vigilancia, Verificación de Amenazas y Amplificación

Vigilancia

La vigilancia tiene que ver con [7, Deitel]:

• La verificación y la auditoria del sistema.
• La autentificación de los usuarios.

Los sistemas sofisticados de autentificación de usuarios resultan muy difíciles de evitar por
parte de los intrusos.

Un problema existente es la posibilidad de que el sistema rechace a usuarios legítimos:

• Un sistema de reconocimiento de voz podría rechazar a un usuario legítimo resfriado.
• Un sistema de huellas digitales podría rechazar a un usuario legítimo que tenga una
cortadura o una quemadura.

Verificación de Amenazas

Es una técnica según la cual los usuarios no pueden tener acceso directo a un recurso:

• Solo lo tienen las rutinas del S. O. llamadas programas de vigilancia.
• El usuario solicita el acceso al S. O.
• El S. O. niega o permite el acceso.
• El acceso lo hace un programa de vigilancia que luego pasa los resultados al
programa del usuario.
• Permite:
o Detectar los intentos de penetración en el momento en que se producen.
o Advertir en consecuencia.

Amplificación

La amplificación se produce cuando [7, Deitel]:

• Un programa de vigilancia necesita para cumplir su cometido mayores derechos de
acceso de los que disponen los usuarios:
o Ej.: se requiere calcular un promedio para lo cual es necesario leer un conjunto
de registros a los que el usuario no tiene acceso individualmente.

Protección por Contraseña

Las clases de elementos de autentificación para establecer la identidad de una persona son:

• Algo sobre la persona:
o Ej.: huellas digitales, registro de la voz, fotografía, firma, etc.
• Algo poseído por la persona:
o Ej.: insignias especiales, tarjetas de identificación, llaves, etc.


• Algo conocido por la persona:
o Ej.: contraseñas, combinaciones de cerraduras, etc.

El esquema más común de autentificación es la protección por contraseña:

• El usuario elige una palabra clave, la memoriza, la teclea para ser admitido en el
sistema computarizado:
o La clave no debe desplegarse en pantalla ni aparecer impresa.

La protección por contraseñas tiene ciertas desventajas si no se utilizan criterios adecuados
para:

• Elegir las contraseñas.
• Comunicarlas fehacientemente en caso de que sea necesario.
• Destruir las contraseñas luego de que han sido comunicadas.
• Modificarlas luego de algún tiempo.

Los usuarios tienden a elegir contraseñas fáciles de recordar:

• Nombre de un amigo, pariente, perro, gato, etc.
• Número de documento, domicilio, patente del auto, etc.

Estos datos podrían ser conocidos por quien intente una violación a la seguridad mediante
intentos repetidos, por lo tanto debe limitarse la cantidad de intentos fallidos de acierto para
el ingreso de la contraseña.

La contraseña no debe ser muy corta para no facilitar la probabilidad de acierto.

Tampoco debe ser muy larga para que no se dificulte su memorización, ya que los usuarios
la anotarían por miedo a no recordarla y ello incrementaría los riesgos de que trascienda.

Auditoría y Controles de Acceso

Auditoría

La auditoría suele realizarse a posteriori en sistemas manuales [7, Deitel], es decir que se
examinan las recientes transacciones de una organización para determinar si hubo ilícitos.

La auditoría en un sistema informático puede implicar un procesamiento inmediato, pues se
verifican las transacciones que se acaban de producir.

Un registro de auditoría es un registro permanente de acontecimientos importantes
acaecidos en el sistema informático:

• Se realiza automáticamente cada vez que ocurre tal evento.
• Se almacena en un área altamente protegida del sistema.
• Es un mecanismo importante de detección.


El registro de auditoría debe ser revisado cuidadosamente y con frecuencia:

• Las revisiones deben hacerse:
o Periódicamente:
Se presta atención regularmente a los problemas de seguridad.
o Al azar:
Se intenta atrapar a los intrusos desprevenidos.

Controles de Acceso

Lo fundamental para la seguridad interna es controlar el acceso a los datos almacenados [7,
Deitel].

Los derechos de acceso definen qué acceso tienen varios sujetos o varios objetos.

Los sujetos acceden a los objetos.

Los objetos son entidades que contienen información.

Los objetos pueden ser:

• Concretos:
o Ej.: discos, cintas, procesadores, almacenamiento, etc.
• Abstractos:
o Ej.: estructuras de datos, de procesos, etc.

Los objetos están protegidos contra los sujetos.

Las autorizaciones a un sistema se conceden a los sujetos.

Los sujetos pueden ser varios tipos de entidades:

• Ej.: usuarios, procesos, programas, otras entidades, etc.

Los derechos de acceso más comunes son:

• Acceso de lectura.
• Acceso de escritura.
• Acceso de ejecución.

Una forma de implementación es mediante una matriz de control de acceso con:

• Filas para los sujetos.
• Columnas para los objetos.
• Celdas de la matriz para los derechos de acceso que un usuario tiene a un objeto.

Una matriz de control de acceso debe ser muy celosamente protegida por el S. O.


Núcleos de Seguridad y Seguridad por Hardware

Núcleos de Seguridad

Es mucho más fácil hacer un sistema más seguro si la seguridad se ha incorporado desde el
principio al diseño del sistema [7, Deitel].

Las medidas de seguridad deben ser implementadas en todo el sistema informático.

Un sistema de alta seguridad requiere que el núcleo del S. O. sea seguro.

Las medidas de seguridad más decisivas se implementan en el núcleo, que se mantiene
intencionalmente lo más pequeño posible.

Generalmente se da que aislando las funciones que deben ser aseguradas en un S. O. de
propósito general a gran escala, se crea un núcleo grande.

La seguridad del sistema depende especialmente de asegurar las funciones que realizan:

• El control de acceso.
• La entrada al sistema.
• La verificación.
• La administración del almacenamiento real, del almacenamiento virtual y del sistema
de archivos.

Seguridad por Hardware

Existe una tendencia a incorporar al hardware funciones del S. O. [7, Deitel]:

• Las funciones incorporadas al hardware:
o Resultan mucho más seguras que cuando son asequibles como instrucciones
de software que pueden ser modificadas.
o Pueden operar mucho más rápido que en el software:
Mejorando la performance.
Permitiendo controles más frecuentes.


SEGURIDAD EN UNIX
DEFINICIÓN DE UN ESQUEMA DE SEGURIDAD

La definición de un esquema de seguridad de las computadoras involucra tres áreas:

1. Control de cuentas de usuario: esto hace posible descubrir quien hizo, que cosa, al
mantener un registro de las actividades de cada usuario, este registro puede examinarse
para detectar actividades sospechosas, o determinar quien hizo una violación al sistema.
En la seguridad computacional, la computadora y su software son los únicos testigos para
mantener un control sobre los usuarios, cada uno debe ser identificado de manera única,
mediante una cuenta, ésta debe estar asociada con los derechos que esta tiene sobre
archivos y directorios del sistema y su relación con otros usuarios.

2. Protección del sistema: permite prevenir que cualquier usuario bloquee o inutilice los
recursos, negando el servicio a otros usuarios, esto e logra evitando el uso no autorizado
de ciertos recursos claves. Si los “malosos” no pueden entrar, la batalla se ha ganado,
esta es la primera línea de defensa. Si un maloso no va más allá de una línea de “login”,
jamás perderemos información. Sin embargo, si de algún modo logra entrar, puede negar
los servicios a otros, mediante el monopolio o destrucción de los recursos, por ejemplo:
Llena el disco o corre demasiados procesos fantasmas, inutilizando el sistema.

3. Protección de la información: se mantiene un control sobre el acceso a los datos,
controlando quien tiene acceso de lectura, copiado o modificación sobre esto. El sistema
debe decidir, basado en la identificación única, y los permisos asociados con cada archivo,
si el archivo puede ser leído, escrito o ejecutado. La combinación de hardware y el
sistema operativo encargado de implementar los elementos de seguridad descritos, se
llama la base de seguridad del sistema. Este concepto se describirá posteriormente.

ELEMENTOS DE UN ESQUEMA DE SEGURIDAD

Existen varios elementos que interviene en la implantación de un esquema de protección:
Los sujetos: Son entidades activas, ya sean personas o programas lanzados por algún
usuario. Bajo UNIX los programas en ejecución se denomina procesos, estos toman la
identidad de los usuarios que los invoca.

Los objetos: Son entidades pasivas que contienen información, los archivos,
dispositivos y sistema mismo. Por ejemplo si un usuario quiere editar un archivo al, él,
proceso vi es el sujeto que requiere acceso al objeto al.

El monitor: Es un elemento de software que controla la conexión entre los sujetos y
los objetos. No necesariamente es el “kernel” del sistema. El monitor utiliza otras dos
fuentes para realizar su tarea, la base de datos de control y el archivo de auditoria.

La base de datos de control: contiene la información de acceso a los objetos, es
decir que sujetos tienen acceso y de que tipo es este acceso para cada objeto.


El archivo de auditoria: Es utilizado por el monitor para registrar cada una de sus
acciones, en este archivo se pueden grabar, dependiendo del nivel de auditoria, desde
eventos muy importantes hasta cada detalle de quien solicitó acceso aun objeto, a que
hora cuando y si se concedo el acceso o no.

Identificamos cada uno de estos elementos en el siguiente ejemplo, el usuario Juan desea,
editar el contenido del archivo ‘ethers’ (objeto), el sistema de control de acceso en el kernel
(monitor), examina los permisos del archivo, determina que el proceso vi tiene permiso de
lectura y registra esta transacción en el archivo de auditoria.

EL LIBRO NARANJA

El gobierno de los Estados Unidos es el mayor usuario de sistemas de cómputo que requiere
seguridad, un problema manejado por NCSC, fue definir un criterio para determinar que tan
seguro era un sistema de cómputo y sus recursos, por lo que diseñó un documento llamado
Criterios de evaluación para un sistema de cómputo confiable, también conocido como El
Libro Naranja que fue publicado por el departamento de defensa en 1985, y se ha convertido
en la guía para varios sistemas de evaluación de seguridad.

El libro naranja está basado en un modelo de seguridad propuesto por la Bell-la Padula y
establece los criterios para lo siguiente: El sistema UNIX, sin modificaciones especiales, se
aproxima al criterio C2. En cierta forma el sistema UNIX tiene características de niveles
superiores, el kernel opera dentro de un dominio de seguridad física, que es defendido por el
hardware, éste dominio protege al kernel y los mecanismos de seguridad dentro de el, ya que
estos no pueden ser tocados. Una ruptura en la seguridad solo es posible usando medio
legítimos para un fin legítimo.

ANÁLSIS DE LOS NIVELES DE SEGURIDAD

NIVEL D1 - El nivel D1 es la forma más elemental de seguridad disponible. Este estándar
parte de la base que asegura, que todo el sistema no es confiable. No hay protección
disponible para el hardware, el sistema operativo se compromete con facilidad, y no hay
autenticidad con respecto a los usuarios y sus derechos, para tener acceso a la información
que se encuentra en la computadora. Este nivel de seguridad, se refiere por lo general a los
sistemas operativos como MS-DOS, MS-Windows y System 7.x de Apple Macintosh.

NIVEL C1 - El nivel C1 tiene dos sub-niveles de seguridad C1 y C2. El nivel C1, o sistema
de protección de seguridad discrecional, describe la seguridad disponible en un sistema
típico UNIX. Existe algún nivel de protección para el hardware, puesto que no puede
comprometerse tan fácil, aunque todavía es posible. Los usuarios deberán identificarse así
mismos con el sistema por medio de un nombre de usuario y una contraseña. Esta
combinación se utiliza para determinar que derechos de acceso a los programas e
información tiene cada usuario. Estos derechos de acceso son permisos para archivos y
directorios. Estos controles de acceso discrecional, habilitan al dueño del archivo o
directorios, o al administrador del sistema, a evitar que algunas personas tengan acceso a
los programas i información de otras personas. Sin embargo, la cuenta de administración del
sistema no está restringida a realizar cualquier actividad. En consecuencia, un administrador
del sistema sin escrúpulos, puede comprometer con facilidad la seguridad del sistema sin
que nadie se entere.


NIVEL C2 - El nivel C2, fue diseñado para ayudar a solucionar tales hechos. Juntos con las
características de C1, el nivel C2 incluye características de seguridad adicional, que crean un
medio de acceso controlado. Este medio tiene la capacidad de reforzar las restricciones a
los usuarios en la ejecución de algunos comandos o el acceso a algunos archivos, basados
no solo en permisos si no en niveles de autorización. Además la seguridad de este nivel
requiere auditorias del sistema. Esto incluye a la creación de un registro de auditoria para
cada evento que ocurre en el sistema. La auditoria se utiliza para mantener los registros de
todos los eventos relacionados con la seguridad, como aquellas actividades practicadas por
el administrador del sistema. La auditoria requiere de autenticación adicional. La desventaja
es que requiere un procesador adicional y recursos de discos del subsistema. Con el uso de
las autorizaciones adicionales, no deben confundirse con los permisos SGID Y SUID, que se
pueden aplicar a un programa, en cambio, estas son autorizaciones específicas que permiten
al usuario ejecutar comandos específicos o tener acceso a las tablas de acceso restringido.

NIVEL B1 - En nivel B de seguridad tiene tres niveles. El B1, o protección de seguridad
etiquetada, es el primer nivel que soporta seguridad multinivel, como la secreta y la
ultrasecreta. Este nivel parte del principio de que un objeto bajo control de acceso obligatorio,
no puede aceptar cambios en los permisos hechos por el dueño del archivo.

NIVEL B2 - El nivel B2, conocido como protección estructurada, requiere que se etiquete
cada objeto, los dispositivos como discos duros, cintas, terminales, etc. podrán tener
asignado un nivel sencillo o múltiple de seguridad. Este es el primer nivel que empieza a
referirse al problema de un objeto a un nivel más elevado de seguridad en comunicación con
otro objeto a un nivel interior.

NIVEL B3 - El nivel B3, o el nivel de demonios de seguridad, refuerza a los demonios con la
instalación de hardware. Por ejemplo, el hardware de administración de memoria se usa
para proteger el dominio de seguridad de acceso no autorizado, o la modificación de objetos
en diferentes dominios de seguridad. Este nivel requiere que la terminal del usuario conecte
al sistema, por medio de una ruta de acceso segura.

NIVEL A - El nivel A, o nivel de diseño verificado, es hasta el momento el nivel más elevado
de seguridad validado por el libro naranja. Incluye un proceso exhaustivo de diseño, control
y verificación. Para lograr este nivel de seguridad, todos los componentes de los niveles
inferiores deben incluirse, el diseño requiere ser verificado en forma matemática, además es
necesario realizar un análisis de los canales encubiertos y de la distribución confiable.

POLITICAS DE SEGURIDAD:

Además de los productos de seguridad o las regulaciones desarrolladas fuera de su
organización, debería trabajar para resolver los asuntos de seguridad que podrán ser locales
o restringidos a su organización o a un subgrupo de ésta. Tales asuntos de seguridad local
incluyen políticas de seguridad y controles de contraseña.

Las políticas de seguridad de res podrán dejar en claro que tipos de recursos y servicio se
están protegiendo, su nivel de importancia y de quién o qué se protegen. Se pueden
establecer dos instancias principales en el desarrollo de políticas que reflejen la seguridad en
su máquina. Estas instancias principales forman la base de todas las demás políticas de
seguridad y regulan los procedimientos acomodados para implantarlas.


Aquello que no se permite en forma expresa, está prohibido, es el primer paso a la seguridad.
Esto significa que su organización ofrece un grupo de servicios preciso y documentado, y
que todo lo demás está prohibido. Por ejemplo, se decide permitir transferencia FTP ilustra
este planteamiento, y no el de Telnet.

La alternativa del planteamiento es aquello que no esté prohibido de manera expresa se
permite. Esto significa que a menos que usted indique en forma expresa que un servicio no
está disponible, entonces todos los servicios estarán disponibles. Por ejemplo, si no dice con
claridad que las secciones de Telnet a un anfitrión dado, están prohibidas, entonces quiere
decir que están permitidas. Sin embargo, todavía puede evitar el servicio al no permitir u a
conexión con el puerto TCP/IP.

Sin importar que decisión tome, la razón para definir una política de seguridad, es determinar
que acción deberá tomarse, en caso de que la seguridad de una organización se vea
comprometida. La política también intenta describir que acciones serán toleradas y cuales
no.

SEGURIDAD LOCAL

PASSWORDS: LAS LLAVES DEL SISTEMA

Aunque no se puede entrar un sistema UNIX sin tener un login-id y un password, es de lo
más trivial adivinar o conseguir un login-id, que usualmente se forma a partir del nombre del
usuario, su apellido o el departamento en el que trabaja.

La verdadera línea de protección la forman los passwords, los mejores passwords es una
combinación de letras, números y caracteres de puntuación. Sin embargo, éstos tienen un
pequeño problema son difíciles de recordar y por lo tanto, todo mundo tiende a anotarlos.
Alguien que quiera hurtarlos, solo necesita fijarse que hace esa persona cuando se dio de
alta en el sistema, es decir, si busca en su agenda, debajo del teclado, etc.

Algunos hasta programan el password en una macro en su estación, lo que implica algo así
como dejar las llaves de su auto puestas.

CRITERIOS PARA SELECCIONAR UN BUEN PASSWORD

Algunos sistemas obligan a los usuarios a utilizar mayúsculas, minúsculas, números y fijan
una longitud misma para el password. Los sistemas que se ajustan a la clase B, tienen
generadores de passwords que los generan, passwords basados en fonemas pronunciables,
sin embargo, estos son más difíciles de recordar y peor aún, cuando el administrador obliga a
los usuarios a cambiar periódicamente.

Los mejores passwords son fáciles de recordar, no son nombres y no se encuentran en
ningún diccionario. Lo que hace a los passwords ser fáciles de recordar es el uso de
nemotecnia.


Unidad7

Más contenido relacionado

La actualidad más candente (18)

Destacado (9)

Similar a Unidad7 (20)

Más de Universidad Autónoma de Nayarit (20)

Unidad7