Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Lección 14:
Introducción a la Seguridad
Jesús Carretero Pérez
Alejandro Calderón Mateos
José Daniel García Sánchez
Francisco Javier García Blas
José Manuel Pérez Lobato
• Introducción y conceptos básicosMaría Gregoria Casares Andrés
Sistemas
Opera,vos
1
ADVERTENCIA
• Este
material
es
un
simple
guión
de
la
clase:
no
son
los
apuntes
de
la
asignatura.
Sistemas
Opera,vos
2
Contenido
• La
seguridad
y
la
protección
• Problemas
de
seguridad.
• PolíBcas
de
seguridad.
• Diseño
de
sistemas
operaBvos
seguros.
• CriptograKa.
• Clasificaciones
de
seguridad.
• Mecanismos
de
protección
en
sistemas
operaBvos.
• Servicios
de
protección
y
seguridad.
• El
sistema
de
seguridad
en
Windows
NT.
• Kerberos.
• Puntos
a
recordar
Sistemas
Opera,vos
3
Seguridad
y
protección
Sistemas
Opera,vos
5
Aspectos
de
seguridad
en
un
S.O.
• La
seguridad
y
la
protección.
Sistemas
Opera,vos
7
Problemas
de
seguridad
(I)
Sistemas
Opera,vos
9
Instalación
y
propagación
de
un
virus
Sistemas
Opera,vos
10
Problemas
de
seguridad
(II)
• Gusanos
– Programas
destrucBvos
que
se
autopropagan
– Con
fines
maliciosos
• Bombardeos
– Ataques
por
denegación
de
servicio
Sistemas
Opera,vos
11
Contenido
• La
seguridad
y
la
protección
• Problemas
de
seguridad.
Sistemas
Opera,vos
12
PolíBcas
de
seguridad
Sistemas
Opera,vos
13
PolíBca
militar
• Se
basa
en
la
clasificación
de
todos
los
objetos
con
requisitos
de
seguridad
en
uno
de
los
siguientes
cinco
niveles
de
seguridad:
– Desclasificado,
Restringido,
Confidencial,
Secreto,
Alto
secreto.
• Los
usuarios
que
Benen
acceso
a
objetos
de
nivel
i
también
lo
Benen
a
los
de
i+1.
• Regla
de
lo
que
se
necesita
saber:
sólo
se
permite
el
acceso
a
datos
sensibles
a
quien
los
necesita
para
hacer
su
trabajo.
• De
esta
forma,
se
puede
compar,mentar
a
los
usuarios,
haciendo
más
estricta
la
regla
general
de
acceso.
• Un
compar,mento
se
puede
extender
a
varios
niveles
y
dentro
del
mismo
se
aplica
también
la
regla
general
de
acceso.
Sistemas
Opera,vos
14
Criterios
de
la
políBca
militar
Sistemas
Opera,vos
15
PolíBca
de
seguridad
en
VMS
Sistemas
Opera,vos
16
PolíBcas
comerciales
Sistemas
Opera,vos
17
Ejemplo
de
la
muralla
china
Sistemas
Opera,vos
18
Modelos
de
seguridad
Sistemas
Opera,vos
19
Contenido
• La
seguridad
y
la
protección
• Problemas
de
seguridad.
• PolíBcas
de
seguridad.
Sistemas
Opera,vos
20
Principios
de
seguridad
• Diseño
abierto.
• Exigir
permisos.
• Privilegio
mínimos.
• Mecanismos
económicos.
• Intermediación
completa.
• ComparBción
mínima.
• Fáciles
de
usar
y
adaptar.
• Separación
de
privilegios.
Sistemas
Opera,vos
21
Tareas
de
seguridad
Sistemas
Opera,vos
22
Tareas
de
seguridad
y
componentes
del
S.O.
Sistemas
Opera,vos
23
Técnicas
de
diseño
de
sistemas
seguros
Sistemas
Opera,vos
24
Máquinas
virtuales
en
MVS
Sistemas
Opera,vos
25
Seguridad
en
las
capas
del
S.O.
Procesos Identificación
Sistema E/S de alto nivel del usuario
Operativo Gestión de memoria
Autenticación
del usuario
Planificación,
compartición
de recursos
Núcleo E/S básica
del SO Manejadores
Interrupciones
Sistemas
Opera,vos
26
Sistema
operaBvo
por
núcleo
seguro
Aplicaciones de usuario
Aplicaciones privilegiadas
Servicios del SO
Núcleo del SO
E/S básica
Manejadores
Interrupciones
Multitarea ...
Hardware
Sistemas
Opera,vos
27
Controles
externos
de
seguridad
Sistemas
Opera,vos
29
Controles
de
seguridad
en
el
S.O.
• La
seguridad
y
la
protección
• Problemas
de
seguridad.
• PolíBcas
de
seguridad.
• Diseño
de
sistemas
operaBvos
seguros.
• CriptograCa.
• Clasificaciones
de
seguridad.
• Mecanismos
de
protección
en
sistemas
operaBvos.
• Servicios
de
protección
y
seguridad.
• El
sistema
de
seguridad
en
Windows
NT.
• Kerberos.
• Puntos
a
recordar
Sistemas
Opera,vos
31
CriptograKa
• Aspectos
clave:
– Algoritmos
de
cifra
– Contraseñas
Sistemas
Opera,vos
32
Cifrado
y
descifrado
Sistemas
Opera,vos
33
Algoritmos
de
cifrado
Sistemas
Opera,vos
34
Contraseñas
• La
seguridad
y
la
protección
• Problemas
de
seguridad.
• PolíBcas
de
seguridad.
• Diseño
de
sistemas
operaBvos
seguros.
• CriptograKa.
Sistemas
Opera,vos
37
Clasificaciones
de
seguridad
• DoD.
– Se
basa
en
la
políBca
militar.
– Mucho
éxito.
– Se
usa
para
clasificar
los
sistemas
operaBvos
• Criterio
alemán
• Criterio
canadiense
• ITSEC
• Criterio
común.
– Se
ha
estandarizado.
– Es
muy
compleja
y
no
Bene
mucho
éxito.
Sistemas
Opera,vos
38
Niveles
de
seguridad
del
DoD
Sistemas
Opera,vos
39
Contenido
• La
seguridad
y
la
protección
• Problemas
de
seguridad.
• PolíBcas
de
seguridad.
• Diseño
de
sistemas
operaBvos
seguros.
• CriptograKa.
• Clasificaciones
de
seguridad.
Sistemas
Opera,vos
40
Protección
• AutenBcación
(¿quién?)
– Claves
(paswords)
– IdenBficación
Ksica
• Tarjetas
inteligentes
• Reconocimiento
de
voz
• Derechos
de
acceso
(¿qué?)
– Objeto
=>
qué
usuarios
y
qué
derechos
– Usuario
=>
qué
objetos
y
qué
derechos
• Descriptor
de
seguridad
por
objeto
que
indica
qué
derechos
de
acceso
Bene
cada
usuario
a
ese
objeto
Sistemas
Opera,vos
42
Descriptor
de
seguridad
en
Windows
Sistemas
Opera,vos
43
Proceso
de
autenBcación
25
20
Porcentaje
15
10
0
s
a
io
s
s
s
t ra
en
t ra
t ra
t ra
t ra
r
na
Bu
le
le
le
le
le
io
es
is
s
o
ro
cc
Do
nc
Se
at
Tr
Di
Ci
Cu
Tipo de clave
Sistemas
Opera,vos
46
Dominios de protección
– En
archivos
• r
=>
leer
• w
=>
escribir
• x
=>
permiso
de
ejecución
– En
directorios
• r
=>
listar
contenidos
• w
=>
crear
o
eliminar
entradas
• x
=>
permiso
de
acceso
Sistemas
Opera,vos
48
Protección en UNIX(II)
Llamada
Dominio de al sistema
protección
del usuario trap
Dominio de
protección del
núcleo del SO
Sistemas
Opera,vos
50
Matriz de protección
Sistemas
Opera,vos
51
Matriz
de
protección.
Ejemplo
Sistemas
Opera,vos
52
Listas de control de acceso (ACL)
• A
cada
objeto
se
le
asigna
una
lista
de
pares
(dominio,
operación)
que
describe
lo
que
el
dominio
puede
hacer
en
el
objeto.
Ej.:
datos -> (juan,profesor,RW)(elvira,alumno,R)
• Concesiones
y
denegaciones
de
servicio
– Denegaciones
primero
– Se
puede
especificar
usuario
y
grupo.
• Son
fáciles
de
crear
y
mantener.
• Están
centralizadas
con
el
objeto,
lo
que
hace
fácil
revocar
permisos.
• Pero
no
son
buenas
si
el
sistema
es
grande
y
está
muy
solicitado:
las
ACL
se
vuelven
muy
grandes
y
sus
operaciones
son
lentas
Sistemas
Opera,vos
53
ACLs
en
Windows
Sistemas
Opera,vos
54
Capacidades
Sistemas
Opera,vos
55
Estructura
de
una
capacidad
Sistemas
Opera,vos
56
Contenido
• La
seguridad
y
la
protección
• Problemas
de
seguridad.
• PolíBcas
de
seguridad.
• Diseño
de
sistemas
operaBvos
seguros.
• CriptograKa.
• Clasificaciones
de
seguridad.
• Mecanismos
de
protección
en
sistemas
operaBvos.
Sistemas
Opera,vos
57
Servicios
genéricos
Sistemas
Opera,vos
58
Servicios
POSIX
Sistemas
Opera,vos
59
access.
Comprueba
la
accesibilidad
sobre
un
archivo
• Servicio:
#include <unistd.h>
int access(char *name, int amode);
• Argumentos:
– name
nombre
del
archivo
– amode
modo
de
acceso
que
se
quiere
comprobar.
amode
es
el
OR
inclusivo
de
R_OK,
W_OK,
X_OK
o
F_OK.
• Devuelve:
– 0
si
el
proceso
Bene
acceso
al
archivo
(para
lectura,
escritura
o
ejecución)
ó
-‐1
en
caso
contrario
• Ejemplo:
– access("archivo", F_OK)
devuelve
0
si
el
archivo
existe
ó
-‐1
si
no
existe.
Sistemas
Opera,vos
60
chmod.
Cambia
los
bits
de
permiso
• Servicio:
#include <sys/types.h>
#include <sys/stat.h>
• Argumentos:
– name
nombre
del
archivo
– mode
nuevos
bits
de
protección
• Devuelve:
– Cero
ó
-‐1
si
error.
• Descripción:
– Modifica
los
bits
de
permiso
y
los
bits
SETUID
y
SETGID
del
archivo.
– Sólo
el
propietario
del
archivo
puede
cambiar
estos
bits
Sistemas
Opera,vos
61
chown.
Cambia
la
propiedad
de
un
archivo
• Servicio:
#include <sys/types.h>
#include <unistd.h>
int chown(char name, uid_t owner, gid_t group);
• Argumentos:
– name
nombre
del
archivo
– owner
nuevo
propietario
del
archivo
– group
nuevo
idenBficador
de
grupo
del
archivo
• Devuelve:
– Cero
ó
-‐1
si
error
• Descripción:
– Modifica
el
idenBficador
de
usuario
y
de
grupo
del
archivo
– Los
bits
SETUID
y
SETGID
son
borrados
Sistemas
Opera,vos
62
Gestión de identificadores de
seguridad.
• Descripción:
– ObBene
información
sobre
el
idenBficador
de
un
proceso
o
su
grupo.
uid_t getuid (void);
uid_t geteuid (void);
gid_t getgid (void);
gid_t getegid (void);
Sistemas
Opera,vos
65
Subsistema
de
seguridad
Pro c e so
G e sto r
d e
d e
lo g o n
c ue n ta s
d e
Po lític a
d e u su a rio
se g u rid a d
Ap lic a c ió n
Re g istro
Au to rid a d
d e
Sub siste m a
se g u rid a d
win3 2 N ive l
d e
lo c a l
u su a rio
N ive l
d e
siste m a
Validación Monitor de
de accesos
referencia
Auditoría de seguridad
Manejadores de Dispositivo
Sistemas
Opera,vos
67
Contenido
• La
seguridad
y
la
protección
• Problemas
de
seguridad.
• PolíBcas
de
seguridad.
• Diseño
de
sistemas
operaBvos
seguros.
• CriptograKa.
• Clasificaciones
de
seguridad.
• Mecanismos
de
protección
en
sistemas
operaBvos.
• Servicios
de
protección
y
seguridad.
• El
sistema
de
seguridad
en
Windows
NT.
• Kerberos.
• Puntos
a
recordar
Sistemas
Opera,vos
68
Estructura
de
servidores
Servidor de seguridad Administrador
Servidor Editor
Registro de registro de registro
Administrador
de ACLs
Servidor
Servidor de Servidor de claves
privilegios autenticación y ACLs
y tickets
Servidor
(cifrado)
Aplicación
Sistemas
Opera,vos
69
Intercambio
de
Bckets
Sistemas
Opera,vos
70
SISTEMAS OPERATIVOS:
Lección 14:
Introducción a la Seguridad
Jesús Carretero Pérez
Alejandro Calderón Mateos
José Daniel García Sánchez
Francisco Javier García Blas
José Manuel Pérez Lobato
• Introducción y conceptos básicosMaría Gregoria Casares Andrés
Sistemas
Opera,vos
71