MANUAL DE SISTEMAS OPERATIVOS I EVALUACION FINAL

CAPTULO VII
ASPECTOS DE SEGURIDAD
Tcnicas De Proteccin
Cuando se almacena informacin en un sistema de computacin, una de las mayores preocupaciones es protegerla de daos fsicos (confiabilidad) y del acceso inadecuado (proteccin). La confiabilidad generalmente se obtiene creando copias de los archivos. Muchos computadores tienen programas de sistema que automticamente o manualmente copian los archivos de disco a una cinta a intervalos regulares para conservar una copia en caso de que el sistema de archivos se destruya accidentalmente. Un sistema de archivos puede ser daado por problemas de hardware, cortes o sobrecargas de energa, choques de las cabezas, polvo, temperatura y vandalismo; adems, los archivos pueden eliminarse accidentalmente. Los errores en el software del sistema de archivos tambin pueden ocasionar la prdida del contenido de los archivos. Por otra parte, tambin se encuentran los virus informticos, caballos de troya y los gusanos.

Pgina 89 de 164

La proteccin puede ofrecerse de variadas formas. Se puede proteger un pequeo sistema monousuario quitando los discos flexibles y guardndolos bajo llave en un cajn del escritorio o en un archivero. Sin embargo, en los sistemas multiusuario se requieren otros mecanismos ms complejos y aplicables a la realidad. La necesidad de proteccin surge de la capacidad de acceder a los archivos, y en aquellos sistemas donde no se permite el acceso a los archivos de otros usuarios, no es necesaria la proteccin. De esta manera, un extremo sera ofrecer una proteccin completa prohibiendo el acceso, mientras que el otro extremo sera ofrecer acceso ilimitado sin proteccin. Ambas estrategias son demasiado radicales para aplicarlas de manera general; lo que se necesita es acceso controlado. Los mecanismos de proteccin ofrecen acceso controlado limitando los tipos de accesos que pueden efectuarse a los archivos. El acceso se permite o niega dependiendo de varios factores, uno de los cuales es el tipo de acceso solicitado. Es posible controlar varias clases de operaciones como lectura, escritura, ejecucin, modificacin y eliminacin. Tambin pueden controlarse los accesos a directorios completos mediante especificaciones que son inevitablemente aplicables a todos los archivos contenidos en el directorio en cuestin. Las operaciones con directorios que se deben proteger son algo diferentes. Se quiere controlar la creacin y eliminacin de archivos en el directorio y, adems, controlar si un usuario puede determinar la existencia de un archivo en un directorio. En algunos casos, puede que el conocimiento de la existencia y nombre de un archivo sea significativo por s mismo, por lo que la visualizacin del contenido de un directorio debe ser una operacin protegida. Se han propuesto muchos mecanismos de proteccin. Como siempre, cada esquema tiene sus ventajas y desventajas y debe seleccionarse el apropiado para la aplicacin que se pretende. Un pequeo sistema de computacin utilizado por unos cuantos integrantes de un equipo de investigacin no necesitar los mismos tipos de proteccin que el computador de una gran corporacin empleado para operaciones financieras, de investigacin y de gestin de personal. La proteccin puede estar asociada al archivo o a la ruta que se usa para especificarlo. En el esquema ms comn se aplica la proteccin a la ruta; as, si el nombre de la ruta hace referencia a un archivo en un directorio, el usuario debe contar con acceso al directorio y al archivo. En los sistemas donde los archivos tienen varios nombres de ruta (como en los grafos acclicos o generales) el usuario puede tener diferentes derechos de acceso al archivo dependiendo del nombre de ruta que utilice.

Nominacin
Los esquemas de proteccin de varios sistemas dependen de que el usuario no tenga acceso a un archivo que no puede nombrar; si no es capas de nombrarlo, entonces no es posible que opere con l. Este esquema supone que no hay ningn mecanismo para obtener los nombres de los archivos de otros usuarios y que es difcil adivinarlos. En realidad, como los nombres de archivos se eligen para que sean mnemnicos, a menudo es fcil adivinarlos.

Contraseas
Otra estrategia consiste en asociar una contrasea con cada archivo. De la misma manera que el acceso al computador se controla por medio de una contrasea, tambin as se puede controlar el acceso a cada archivo. Si las contraseas se eligen al azar y se cambian con frecuencia, esta estrategia puede ser eficaz para restringir el acceso a los usuarios que conozcan la contrasea. No obstante, existen varias desventajas con este esquema. Si se asocia una contrasea individual con cada archivo, puede ser muy grande el nmero de contraseas que hay que recordar, lo que no resulta prctico. Si se emplea la misma contrasea para todos los archivos, una vez que esta se descubre todos los archivos se hacen accesibles. Algunos sistemas permiten que el usuario asocie una contrasea con un subdirectorio, en vez de con un archivo.

Pgina 90 de 164

Dominios de Proteccin
Un dominio de proteccin es un conjunto de pares (objeto, operaciones); cada par identifica un objeto y las operaciones permitidas sobre l. En cada instante, cada proceso se ejecuta dentro de un dominio de proteccin. Los procesos pueden cambiar de un dominio a otro en el tiempo; el cmo depende mucho del sistema. En UNIX, se asocia un dominio a cada usuario/grupo; dado un usuario y el grupo al cual pertenece, se puede construir una lista de todos los objetos que puede acceder y con qu operaciones. Cuando un usuario ejecuta un programa almacenado en un archivo de propiedad de otro usuario B, el proceso puede ejecutar dentro del dominio de proteccin de A o B, dependiendo del bit de dominio o SETUSERID bit del archivo. Este mecanismo se usa con algunos utilitarios. Por ejemplo, el programa passwd debe tener privilegios que un usuario comn no tiene, para poder modificar el archivo donde se guardan las claves. Lo que se hace es que el archivo /bin/passwd que contiene el programa es propiedad del superusuario, y tiene el SETUSERID encendido. Este esquema es peligroso: un proceso puede pasar de un estado en que tiene poco poder a otro en que tiene poder absoluto (no hay trminos medios). Cualquier error en un programa como passwd puede significar un gran hoyo en la seguridad del sistema. Cuando se hace una llamada al sistema tambin se produce un cambio de dominio, puesto que la llamada se ejecuta en modo protegido.

Matriz De Acceso
Otra Ahora bien, cmo se las arregla el sistema para llevar la cuenta de quin puede acceder a qu objetos y con qu operaciones? Conceptualmente al menos, se puede ver este modelo de proteccin como una gran matriz de acceso. Los cambios de dominio que un proceso puede hacer tambin pueden integrarse a la matriz, tratando a los dominios como otros objetos, con una operacin: entrar. Una poltica de proteccin involucra decidir cmo se va a llenar esta matriz. Normalmente el usuario que crea un objeto es quin decide cmo se va a llenar la columna de la matriz correspondiente a ese objeto. La matriz de acceso es suficientemente general como para apoyar diversas polticas. Por ejemplo: La capacidad para copiar o transferir un derecho de un objeto a otro dominio. Capacidad de un dominio para modificar los derechos en otros dominios (todos, o para un recurso especfico).

El problema es cmo almacenar esta matriz. Como es una matriz poco densa (muchos de los elementos son vacos), no resulta prctico representarla como matriz propiamente. Podramos usar una tabla con triples (dominio, objeto, derechos). Si un proceso dentro de un dominio D intenta efectuar una operacin M sobre un objeto O, se busca (D, O, C), y se verifica si M pertenece a C. De todas maneras, la tabla es grande, y el esquema no es muy eficiente. Adems, si un objeto puede ser, por ejemplo, ledo por todo el mundo, debe tener entradas para cada dominio.

Listas De Acceso
Otra estrategia es hacer que el acceso dependa de la identidad del usuario. Los distintos usuarios pueden requerir tipos de acceso diferentes para un archivo o un directorio, al cual puede asociarse una lista de acceso que especifique los nombres de los usuarios y los tipos de acceso permitidos para cada uno. Cuando un usuario solicita el acceso a un archivo, el sistema operativo comprueba la lista de Pgina 91 de 164

acceso correspondiente. Si el usuario aparece en la lista junto con el acceso solicitado, se permite el acceso; de lo contrario, ocurre una violacin de la proteccin y se niega el acceso. Alternativamente, se puede guardar la matriz por columnas (descartando las entradas vacas). Es decir, a cada objeto se le asocia una lista de pares (dominio, derechos). Es lo que se conoce como lista de acceso. Si se piensa en archivos de Unix, se puede almacenar esta lista en el nodo-i de cada archivo, y sera algo as como: ((Juan, *, RW), (Pedro, Profes, RW), (*, Profes, R)). Donde R: Read (Leer), W: Write (Escribir), X: Excecute (Ejecucin). En la prctica, se usa un esquema ms simple (y menos poderoso), pero que puede considerarse an una lista de accesos, reducida a 9 bits. 3 para el dueo (RWX), 3 para el grupo, y 3 para el resto del mundo. Windows NT usa listas de accesos con todo el nivel de detalle que uno quiera: para cualquier usuario o grupo, se puede especificar cualquier subconjunto de derechos para un archivo La otra posibilidad es almacenar la matriz por filas. En este caso, a cada proceso se le asocia una lista de capacidades. Cada capacidad corresponde a un objeto ms las operaciones permitidas. Cuando se usan capacidades, lo usual es que, para efectuar una operacin M sobre un objeto O, el proceso ejecute la operacin especificando un puntero a la capacidad correspondiente al objeto, en vez de un puntero al objeto. La sola posesin de la capacidad por parte del proceso quiere decir que tiene los derechos que en ella se indican. Por lo tanto, obviamente, se debe evitar que los procesos puedan "falsificar" capacidades. Una posibilidad es mantener las listas de capacidades dentro del sistema operativo, y que los procesos slo manejen punteros a las capacidades, no las capacidades propiamente. Otra posibilidad es cifrar las capacidades con una clave conocida por el sistema, pero no por el usuario. Un problema de las capacidades es que puede ser difcil revocar derechos ya entregados.

Usuarios y Grupos De Acceso

El sistema operativo tambin provee seguridad a nivel de usuarios. En este caso define para cada usuario del sistema un conjunto de atributos (perfil) que especifican a que recursos puede acceder. Por lo general la definicin de un perfil para cada usuario resultara demasiado extenso y complejo de administrar. Es as, que el sistema operativo crea grupos de usuarios que permiten definir un conjunto de atributos a un grupo amplio de individuos. El mayor problema con las listas de acceso puede ser su longitud. Si se quiere que todos puedan leer un archivo, se debe elaborar una lista de todos los usuarios con acceso de lectura. Esta tcnica tiene dos consecuencias indeseables: La construccin de la lista (o matriz de acceso) puede ser una tarea tediosa e infructuosa, especialmente si no se conoce por adelantado la lista de usuarios del sistema. La entrada del directorio, que antes era de tamao fijo, ahora necesita ser de tamao variable, lo que complica la administracin del espacio.

Estos problemas pueden resolverse usando una versin condensada de la lista de acceso. Para condensar el tamao de la lista de acceso muchos sistemas reconocen tres clasificaciones de los usuarios en relacin con cada archivo: Dueo. El usuario que cre el archivo es su dueo. Grupo. Un grupo o grupo de trabajo es un conjunto de usuarios que comparten el archivo y necesitan acceso similar. Pgina 92 de 164

Universo. Todos los dems usuarios en el sistema forman el universo. Obsrvese que, para que este esquema funcione correctamente, hay que controlar con cuidado la pertenencia a los grupos. Hay varias maneras para ejercer este control. Por ejemplo, en los sistemas UNIX los grupos slo pueden ser creados o modificados por el administrador de la instalacin (o por cualquier superusuario). De esta manera, el control se obtiene por interaccin humana.

Seguridad De Los Sistemas Operativos

Los mecanismos de seguridad son instrumentos de proteccin contra amenazas a la seguridad. Sucede con demasiada frecuencia que los proveedores de productos especficos de seguridad presentan sus productos como la respuesta a todos los problemas de seguridad. El partidario de los dispositivos de ciframiento dice que la seguridad es un problema de ciframiento, el auditor de seguridad de los datos opina que la seguridad es una cuestin de auditoria y control, mientras que el especialista en emanaciones comprometedoras siente que la respuesta reside en el blindaje electrnico que protege el equipo contra fugas de informacin. La eleccin de soluciones para problemas reales de seguridad es una decisin tanto econmica como tcnica. Los criterios econmicos surgen del equilibrio entre el costo de prdidas potenciales y el costo de instrumentos y procedimientos de proteccin; este proceso se denomina a veces estimacin de riesgos. Existen guas especficas para agencias que manejan aspectos de seguridad nacional e informacin. No todos los niveles de proteccin son apropiados para todos los ambientes. EI trabajo de seguridad OSI (Open System Interconnection) considera las amenazas como accidentales o intencionales, y como activas o pasivas. Las amenazas pasivas se limitan a la obtencin de informacin confidencial, en tanto que las activas incluyen la alteracin de datos, la denegacin de servicio o la reproduccin de trfico legtimo. Existe la idea errnea de que los sistemas abiertos no son seguros; ello ha provocado retrasos en la realizacin de OSI. En la arquitectura de seguridad OSI se identifican tanto los servicios de seguridad como los mecanismos para ofrecerlos. Entre los servicios proporcionados se pueden mencionar el control de acceso, la identificacin de autenticidad de las entidades iguales, la confidencialidad en los contextos de los datos, la transferencia de datos orientada a las conexiones y sin conexiones, la seguridad a nivel de campos, la seguridad del flujo de trfico y la integridad de los datos.

Concepto De Seguridad
Conforme los sistemas de computacin se han vuelto ms complejos y sus aplicaciones se han difundido ms, tambin ha crecido la necesidad de proteger su integridad. En un principio, la proteccin se concibi como una aadidura a los sistemas operativos de multiprogramacin para que varios usuarios, en los que no se poda confiar, pudieran compartir con seguridad un mismo espacio lgico, como un directorio de archivos o un mismo espacio fsico, como la memoria. Se ha evolucionado hasta los modernos conceptos de proteccin para aumentar la seguridad de cualquier sistema complejo que utilice recursos compartidos. La proteccin se refiere a un mecanismo para controlar el acceso de programas, procesos o usuarios a los recursos definidos por un sistema de computacin. Este mecanismo debe ofrecer un medio para especificar los controles que se impondrn, as como la manera de aplicarlos. Se debe establecer la diferencia entre proteccin y seguridad, la cual representa una medida de la confianza en que se conservar la integridad del sistema y sus datos. El control de la seguridad es un tema mucho ms amplio que la proteccin. Hay varias razones para proporcionar la proteccin, la ms obvia es la necesidad de evitar una violacin mal intencionada de una restriccin de acceso. Sin embargo, tiene una importancia ms general la necesidad de asegurar que cada componente de un programa activo utilice los recursos slo de manera consistente con las polticas establecidas para su uso. Este es un requisito absoluto para un sistema seguro. Pgina 93 de 164

La proteccin puede mejorar la seguridad detectando errores latentes en las interfaces entre los subsistemas componentes. Si en las primeras etapas se detecta un error en las interfaces, muchas veces se puede evitar la contaminacin de un sistema ntegro debido al mal funcionamiento de un subsistema. Un recurso desprotegido no puede defenderse del uso, o abuso, no autorizado o de un usuario incompetente. Un sistema orientado a la proteccin ofrece un medio para distinguir entre el uso autorizado y el no autorizado. El papel de la proteccin en un sistema de computacin consiste en proporcionar un mecanismo para aplicar las polticas que gobiernan la utilizacin de los recursos. Estas polticas pueden establecerse de varias maneras: algunas estn determinadas en el diseo del sistema, otras estn formuladas por los administradores de un sistema, y algunas ms son definidas por los usuarios para proteger sus propios archivos y programas. Un sistema de proteccin debe tener la flexibilidad suficiente para aplicar las diversas polticas que se le puedan indicar. Las polticas para la utilizacin de los recursos pueden variar, dependiendo de la aplicacin, y pueden cambiar con el tiempo. Por estas razones, la proteccin no puede considerarse como algo que slo concierne al diseador de un sistema operativo; tambin debe estar a disposicin del programador de aplicaciones para que puedan asegurar los recursos creados y el servicio proporcionando a un subsistema de aplicaciones contra el mal uso.

Mtodos De Verificacin
Los requisitos de seguridad de un sistema dado definen qu significa que ese sistema sea seguro. Tales requisitos sirven como base para determinar si el sistema realizado es seguro: sin un conjunto preciso de requisitos de seguridad no tiene mucho sentido preguntar si el sistema es seguro. De manera similar, si los requisitos no estn expresados en forma tajante, no dirn mucho acerca de la verdadera seguridad del sistema. Para establecer adecuadamente los requisitos de seguridad, es necesario evaluar cul es el mejor mtodo de seguridad que se puede aplicar para satisfacer las necesidades del sistema computacional involucrado. Existen muchas estrategias considerativas de seguridad, de las cuales slo se har mencin de algunas.

Estrategia De Total Seguridad

En vista de lo indispensable de una estrategia total respecto a la seguridad de los computadores. La seguridad externa se ocupa de proteger el recurso de cmputo contra intrusos y desastres como incendios e inundaciones. Una vez que un usuario obtiene acceso fsico a un recurso de cmputo, el sistema operativo debe lograr su identificacin antes de concederle acceso a los programas y datos almacenados en el sistema. Esto podra llamarse seguridad de la interfaz con el usuario. La seguridad interna se ocupa de los diversos controles integrados al equipo y al sistema operativo con el fin de garantizar el funcionamiento confiable y sin corrupcin del sistema de cmputo y la integridad de los programas y los datos.

Seguridad Externa
La seguridad externa consiste en seguridad fsica y seguridad de operacin. La seguridad fsica incluye la proteccin contra desastres y la proteccin contra intrusos. Los mecanismos de deteccin son importantes para la seguridad fsica. Los detectores de humo y los sensores de calor pueden proporcionar un aviso temprano en caso de incendio; los detectores de movimiento pueden determinar si ha entrado un intruso en una instalacin de cmputo. Poner en prctica la proteccin contra desastres puede resultar costoso y a menudo se trata con demasiada ligereza, pero es obvio que la necesidad de este tipo de proteccin depende de las consecuencias de una prdida. La mayora de las organizaciones sencillamente no pueden darse el lujo Pgina 94 de 164

de un plan minucioso para proteccin contra desastres, por lo que las principales labores en cuanto a seguridad fsica se encaminan hacia el rechazo de intrusos. Para dicho propsito, las instalaciones utilizan diversos tipos de sistemas de identificacin fsica, como por ejemplo, las credenciales con firmas, o fotografas, o bien, las dos cosas. Los sistemas de huellas dactilares o de patrn de voz tambin gozan de popularidad.

Seguridad De Operacin
La seguridad de operacin se compone de las diversas polticas y procedimientos puestos en prctica por los administradores de una instalacin de cmputo. La autorizacin determina qu acceso se otorga a qu entidades. La clasificacin fragmenta el problema en subproblemas; los datos del sistema y los usuarios se dividen en clases a las cuales se conceden diversos derechos de acceso. La eleccin y asignacin del personal es vital. Es posible confiar en los empleados. Un enfoque comn en este aspecto es la divisin de responsabilidades; a las personas se les asignan diferentes conjuntos de deberes, mismos que pueden realizar sin necesidad de conocer la totalidad del sistema, y as los individuos no pueden percibir el panorama completo. Para poner en peligro al sistema podra ser necesaria la cooperacin entre muchos empleados y ello reduce considerablemente la probabilidad de violaciones de la seguridad. Por ejemplo, en instalaciones de cmputo grandes slo se permite el acceso al sistema de cmputo a los operadores y slo los programadores pueden escribir programas. Los operadores no deberan saber programar ni los programadores deberan estar familiarizados con los detalles de operacin del sistema de cmputo. De manera similar, un grupo separado debera controlar las entradas a los sistemas de produccin y un grupo totalmente distinto debera revisar y verificar las salidas. Es preciso incluir verificaciones y balances en el sistema de cmputo como una forma de ayuda para la deteccin de violaciones de la seguridad; el personal de operacin no debe tener conocimiento de la naturaleza de estos controles, lo cual reduce la posibilidad de esquivarlos, pero debe indicrseles que se han incluido controles complejos en el sistema porque semejante conocimiento muchas veces basta para refrenar a las personas que podran intentar violar la seguridad.

Vigilancia
La vigilancia se ocupa de supervisar el sistema, realizar auditoras de l y de verificar la identidad de los usuarios. Algunos de los sistemas de verificacin de autenticidad usados hoy da son muy complejos; es cierto que se pueden esquivar, pero hacerlo requiere cada vez de mayor conocimientos y esfuerzo. Un problema interesante en estos sistemas es la posibilidad de rechazar usuarios legtimos; un sistema de patrn de voz podra rechazar a un usuario legtimo que esta resfriado; un sistema de huellas digitales podra rechazar a un usuario legtimo con una cortadura o quemadura.

Supervisin De Amenazas
Una forma de reducir al mnimo los riesgos para la seguridad es hacer que el sistema operativo controle las operaciones delicadas en vez de entregar el control directamente a un usuario. Si un usuario desea obtener acceso a un archivo vital, algunos sistemas podran permitir al usuario un acceso directo al archivo. El usuario estara fuera de control y el sistema operativo no podra supervisar los movimientos realizados con el archivo en el momento en que tienen lugar. Una tcnica ms segura es la denominada supervisin de amenazas. Cuando hay supervisin de amenazas, los usuarios no pueden obtener acceso directo a los recursos; este acceso directo slo pueden tenerlo algunas rutinas de los sistemas operativos llamadas programas de vigilancia. El usuario que desea obtener acceso a un recurso lo solicita al sistema operativo, el cual puede conceder o denegar el acceso. Si lo concede, un programa de vigilancia se encarga del acceso real al archivo y pasa los resultados al programa del usuario. Este concepto es similar al de los Pgina 95 de 164

monitores. La supervisin de amenazas es una actividad continua; los intentos de penetracin se detectan en el momento en que ocurren y se notifica de inmediato al administrador del sistema. A veces es preciso conceder a un programa de vigilancia mayores derechos de acceso que los otorgados a los usuarios para que pueda atender en forma efectiva ciertas solicitudes de los usuarios. Esto se denomina amplificacin. Aun as, los usuarios astutos podran inferir informacin realizando varias consultas diferentes y examinando el traslape en los resultados. Sin embargo, es posible disear programas de vigilancia que detecten tales intentos y lo notifiquen a un administrador del sistema.

Proteccin Por Contrasea (Llave/Cerradura)

Hay tres clases de elementos para la verificacin de autenticidad con los cuales puede establecerse la identidad de un usuario de un sistema: Algo caracterstico de la persona. Esto incluye huellas dactilares, patrones de voz, fotografas y firmas. Algo que posee la persona. Esto incluye credenciales, tarjetas de identificacin y claves. Algo que sabe la persona. Esto incluye contraseas y combinaciones de candados.

El esquema ms comn para la verificacin de autenticidad es la simple proteccin por contrasea utilizando una matriz de accesos sobre dominios de proteccin. El usuario escoge una palabra clave, la memoriza y despus la teclea para obtener acceso a un sistema de cmputo. La mayor parte de los sistemas suprimen la impresin o despliegue de la contrasea mientras se teclea. La proteccin por contrasea tiene muchos puntos dbiles. Los usuarios eligen por lo regular contraseas fciles de recordar, como por ejemplo el nombre de un amigo o pariente. Alguien que conoce al usuario podra tratar varias veces de entrar en el sistema usando los nombres de gente conocida por esta persona; tal cosa podra dar por resultado una violacin de seguridad mediante intentos repetidos. Algunos de los primeros sistemas empleaban contraseas cortas; dichos sistemas eran fciles de penetrar por la simple prueba de todas las contraseas posibles. La mayor parte de los sistemas actuales usan contraseas ms largas para frustrar tales intentos de penetracin. No obstante, el empleo de contraseas largas tiene tambin sus problemas: si las claves son difciles de recordar, los usuarios tendern a anotarlas en algn lado lo cual facilita la obtencin de la contrasea por parte de un tercero. La penetracin de las defensas de un sistema operativo no resulta por fuerza un peligro significativo para la seguridad. Por ejemplo, supngase que alguien logra obtener acceso a la lista maestra de contraseas de un sistema. En general, esto significara que el intruso podra obtener acceso a cualquier informacin en el sistema. Para lograr que las contraseas resulten intiles para un intruso, se puede usar el ciframiento. As, la posesin de las contraseas servir de poco a menos que la persona cuente tambin con la clave de desciframiento. Se recomienda a los usuarios cambiar sus contraseas con frecuencia; de este modo, aunque un intruso obtenga una contrasea, sta podra haber cambiado antes de que l logre hacer un verdadero dao. Una defensa sencilla contra los intentos repetidos es limitar el nmero de intentos de entrada que pueden iniciarse en cualquier periodo desde una misma terminal o estacin de trabajo (o desde una misma cuenta). Sin duda, cualquier persona comete errores de tecleo cuando intenta entrar en el sistema. Pero no es razonable que una persona que conoce la contrasea correcta requiera decenas, cientos o miles de intentos. Por tanto, un sistema podra permitir tres o cuatro intentos, y despus desconectar automticamente la terminal durante varios minutos. Despus de un periodo de espera, el terminal se puede volver a conectar. Si ocurre otra serie de intentos intiles por entrar en el sistema, el sistema operativo podra desplegar un aviso en la terminal indicando que su intento de violacin al sistema ha sido detectado.

Auditora
Pgina 96 de 164

La auditora se realiza por lo general en sistemas manuales a posteriori. Se convocan auditores peridicamente para examinar las transacciones recientes de una organizacin y determinar si se han realizado actividades fraudulentas. La auditora en sistemas de cmputo puede implicar un procesamiento inmediato en el computador para revisar las transacciones que se acaban de realizar. Una bitcora de auditoria es un registro permanente de eventos importantes que ocurren en el sistema de cmputo. Se produce automticamente cada vez que sucede un evento as y se almacena en un rea protegida del sistema; si el sistema se ve comprometido, la bitcora de auditora deber permanecer intacta. La bitcora de auditora es un mecanismo de deteccin importante. Aunque logren penetrar las defensas de un sistema, las personas pueden refrenar sus deseos de hacerlo si temen una deteccin posterior. La mayora de los sistemas operativos poseen este tipo de bitcoras y en ellas se almacena informacin como:
La identificacin general del usuario. Su clave formal de acceso al sistema y el nmero de veces que tuvo que repetir la clave antes de poder ingresar al sistema. Toda la informacin asociada al usuario (nombre, cdula de identidad, etc.) y al evento (eliminacin o lectura de archivos importantes, ingreso a directorios no autorizados, etc.). Informacin acerca de la fecha, hora y nmero de serie del terminal.

La simple produccin de una bitcora de auditora no garantiza una seguridad adecuada. Es necesario revisar la bitcora con frecuencia y detenimiento. Estas revisiones pueden realizarse tanto en forma peridica como al azar. Las auditoras peridicas atienden en forma regular los problemas de seguridad; las auditoras al azar ayudan a atrapar desprevenidos a los intrusos.

Criptografa
Al ir ganando popularidad las redes de computadores, cada vez se transmite ms informacin confidencial por canales donde es posible interceptar o escuchar los mensajes sin autorizacin. Por ejemplo, las transferencias de cuentas bancarias, fichas mdicas e historiales criminales son algo rutinario en muchos lugares, generalmente en redes aisladas de propsito especial. Para que esta informacin confidencial este segura, se necesita de mecanismos que permitan que un usuario proteja los datos transferidos por la red. El cifrado es un mtodo comn para proteger la informacin que se transmite por enlaces poco confiables. El mecanismo bsico funciona en la forma siguiente:
La informacin se codifica de su formato legible inicial, o texto limpio, a un formato interno, o texto cifrado. Este formato interno del texto, aunque puede ser legible, no tiene ningn sentido. El texto cifrado puede almacenarse en un archivo legible o transmitirse por canales no protegidos.

Para que el texto cifrado tenga sentido, el receptor debe decodificarlo adecuadamente a fin de recuperar el texto limpio.

Incluso si la informacin cifrada cae en manos de una persona no autorizada, no le servir de nada a menos que la pueda decodificar. El asunto ms importante es el desarrollo de esquemas de cifrado que sean imposibles, o por lo menos muy difciles, de romper. Hay una gran variedad de mtodos para lograr esta tarea. Los ms comunes proporcionan un algoritmo de cifrado general E (encryption) un algoritmo de descifrado general D (decryption) y una o varias claves secretas que se proporcionan para cada aplicacin. Sean Ek y Dk la representacin de los algoritmos de cifrado y descifrado, respectivamente, para una aplicacin con la clave k. El algoritmo de cifrado debe satisfacer las siguientes propiedades para cualquier mensaje m: Pgina 97 de 164

Dk(Ek(m)) = m. Tanto Ek como Dk pueden calcularse eficientemente. La seguridad del sistema depende nicamente de lo secreto de la clave y no de lo secreto de los algoritmos E y D.

Uno de estos esquemas es llamado norma de cifrado de datos. Este esquema presenta el problema de distribucin de Ilaves: antes que se pueda establecer la comunicacin, las llaves secretas se deben enviar de manera segura tanto al emisor como al receptor, tarea que no puede lograrse eficazmente en un entorno de comunicaciones por red. Una solucin para este problema consiste en utilizar una estrategia de cifrado de llave pblica: cada usuario tienen una clave pblica y una privada, y dos usuarios slo se pueden comunicar si conocen la clave pblica del otro. De este concepto surge un algoritmo que se considera casi inviolable. La clave pblica de cifrado es un par (e,n); la clave privada es un par (d,n), donde e, d y n son enteros positivos. Cada mensaje esta representado por un entero entre 0 y n-1. Un mensaje de gran tamao se divide en una serie de mensajes ms pequeos, cada uno de los cuales puede representarse con un entero. Las funciones E y D se definen como E(m) = (me) mod n = C D(C) = (Cd) mod n. El problema principal es la eleccin de las claves de cifrado y descifrado. El entero n se calcula como el producto de dos nmero primos aleatorios (p y q) de gran tamao (100 o ms dgitos) donde n = p * q. Se escoge d de tal manera que su valor sea un nmero entero aleatorio de gran tamao relativamente primo a (p-1)*(q-1). Es decir, d cumple con el mximo comn divisor [d, (p-1)*(q-1)] =1. Por ltimo, se calcula el entero e a partir de p, q y d para que sea el inverso multiplicador de d mdulo (p-1)*(q-1). Es decir, e satisface la ecuacin: (e*d) mod ((p-1)x(q-1)) = 1. Se debe sealar que, aunque n es de conocimiento pblico, no lo son p y q. Esta condicin se permite porque es muy difcil factorizar n y, por tanto, no es fcil adivinar los enteros d y e. A modo de ejemplo: Sean p=5 y q=7. Entonces, n=35 y (p-1)*(q -1)=4. Como 11 es relativamente primo de 24, se puede escoger d =11; Luego, como (11*11) mod 24 =121 mod 24 =1, se concluye que e =11. Supngase que m =3. Entonces, C = me mod n = 311 mod 35 =12, y Cd mod n = 1211 mod 35 = 3 = m. De esta manera, si se codifica m usando e, se puede decodificar m con d.

Pgina 98 de 164

CAPTULO VIII ELEMENTOS DE CONFIGURACIN

Estructuras De Sistemas Operativos (Diseos) Sistemas Monolticos (DOS, MAC)
Esta estructura de 3 niveles es muy utilizada en los sistemas operativos y consiste en una estructura muy rudimentaria. Bsicamente todas las funcionalidades del sistema operativo son proporcionadas a travs de un conjunto de procedimientos, los que pueden ser llamados por otros cada vez que se requiera. Nivel superior: Programas de aplicacin que llaman los procedimientos de servicio. Nivel intermedio: Conjunto de procedimientos de servicio que realizan los llamados a sistema. Nivel inferior: Conjunto de procedimientos utilitarios que ayudan a los procedimientos de servicio.

Sistemas Con Capas (Unix / OS2)

El enfoque por capas consiste en dividir el sistema operativo en varias capas, cada una de las capas se construye sobre una capa inferior. La capa 0 (la ms baja) es el hardware y la capa N (la ms alta) es la interfaz con el usuario. La caracterstica ms importante de este tipo de estructura es la modularidad. Las capas se seleccionan de manera que cada una utilice funciones y servicios slo de las capas inferiores. Desventaja: Dificultad de definir los niveles.

Mquinas Virtuales (VM/370 CMS (Conversational Monitor System))

Este tipo de sistema consiste en que se ejecuta el ncleo del sistema, que se le llama monitor de la mquina virtual, sobre el hardware y realiza la multiprogramacin, proporcionando al nivel superior varias mquinas virtuales. Estas mquinas virtuales son simulaciones del hardware, con su modo ncleo/usuario, E/S, interrupciones y todos los dems aspectos fsicos del hardware.

Sistemas De Microkernel
La tendencia en el desarrollo de los sistemas operativos apunta a mover la mayor cantidad posible del cdigo del sistema operativo a las capas superiores, de manera de minimizar el tamao del ncleo del sistema. Microkernel (cliente/servidor): Los procesos clientes solicitan los servicios a los procesos servidores. Firmware: Tecnologa de instrucciones incluidas en el procesador.

Pgina 99 de 164

Organizaciones Ms Comunes De Multiprocesadores

A continuacin se presenta una clasificacin para los sistemas con varios procesadores basado en cmo la mquina relaciona sus instrucciones con los datos que tiene que procesar. 1) SISD (Single Instruction Single Data). Un solo flujo de instruccin, un solo flujo de datos. Computadores con un nico procesador. 2) SIMD (Single Instruction Multiple Data). Un solo flujo de instrucciones, varios flujos de datos. Procesadores vectoriales y computadores en arreglo en los que una sola instruccin se ejecuta sobre varios datos. 3) MISD (Multiple Instruction Multiple Data). Flujo de varias instrucciones, un solo flujo de datos. Ningn computador se ajusta a este tipo. 4) MIMD (Multiple Instruction Multiple Data). Flujo de varias instrucciones, flujo de varios datos. Grupo de computadores independientes, cada uno con su propio contador de programa, programa y datos. Segn la conexin entre los procesadores, se pueden considerar: a) Sistemas fuertemente acoplados. Los procesadores comparten la memoria y el reloj. Son sistemas multiprocesadores y la comunicacin generalmente se hace a travs de la memoria compartida. b) Sistemas dbilmente acoplados. Los procesadores no comparten la memoria ni el reloj y cada uno tiene su propia memoria local. Se comunican mediante redes locales o de rea extensa. Son los sistemas distribuidos. Un sistema distribuido proporciona a los usuarios acceso a los distintos recursos hardware y software controlado por el sistema operativo Los esquemas bsicos del son: b.1. Sistemas operativos de red. Los usuarios estn enterados de la multiplicidad de mquinas y para acceder a sus recursos necesitan conectarse al computador remoto apropiado. Son sistemas dbilmente acoplados tanto en hardware como en software. Sistemas operativos distribuidos. Los usuarios no necesitan saber que existe una multiplicidad de mquinas y pueden acceder a los recursos remotos de la misma forma que lo hacen a los recursos locales. Son sistemas de hardware dbilmente acoplado, pero de software fuertemente acoplados.

b.2.

Tiempo Compartido O Bus Comn (Conductor Comn)

Usa un solo camino de comunicacin entre todas las unidades funcionales (procesadores, almacenamiento y los procesadores de I/O). En ese sencillo esquema, el bus comn es en esencia una unidad pasiva, es decir, las operaciones de transferencia entre las unidades funcionales son controladas por las interfaces del conductor de las propias unidades. La principal ventaja es que es una de las formas ms sencillas (usar un bus compartido para conectar los procesadores y la memoria); el problema es que el bus o la memoria compartida se pueden saturar. Para esto se puede recurrir a las siguientes soluciones: 1) Disponer de una memoria cach: a) Asociada con la memoria compartida: los procesadores acceden a ella por el bus, Pgina 100 de 164

b) Asignar a cada procesador una cach. Presenta problemas de coherencia. Para mantener esta coherencia, se utilizan protocolos especializados y hardware adicional, como los espas de cach o monitores de cach, que observan el bus y cuando se hace una peticin de escritura en una direccin presente en la cach, se actualiza sta con el nuevo valor. Esto hace que aumente el trfico en el bus. 2) Considerar un bus de ms anchura. 3) Soportar protocolos diferentes de peticin/respuesta. Las peticiones y las respuestas de memoria se tratan de forma separada en el bus. Despus de que un procesador realiza una peticin, el bus queda liberado para que le puedan utilizar otros usuarios durante el tiempo que tarda la memoria en acceder y ensamblar la informacin solicitada. La escalabilidad de este esquema est limitada por el bus y la memoria compartida. En implementaciones comerciales se soportan del orden de 64 procesadores. Es un esquema sencillo, por lo que muchos diseos comerciales estn basados en l.

Matriz De Barras Cruzadas E Interruptores

Existe un camino diferente para cada unidad de almacenamiento. Con este esquema, las referencias a dos unidades diferentes de almacenamiento pueden producirse de forma simultnea, una no puede bloquear a la otra. De hecho, un sistema de matriz de barras cruzadas e interruptores puede mantener transmisiones simultneas para todas las unidades de almacenamiento. Se disponen de n memorias y n procesadores conectados mediante conmutadores.

La conmutacin en los cruces (punto de unin entre las lneas) es la nica fuente de retardo. La contencin en el acceso a la memoria slo ocurre cuando un procesador intenta acceder a la misma memoria y al mismo tiempo que otro. Pero con una apropiada situacin de los datos se puede evitar, o por lo menos aliviar. El problema persiste en el caso de variables compartidas (como un semforo). Permite un elevado grado de paralelismo entre tareas no relacionadas, pero se presentan problemas de contencin cuando hay procesos con memoria compartida. Para n procesadores y n memorias, se necesitan n2 conmutadores, lo que hace que el coste sea elevado.

Almacenamiento De Interconexin Mltiple

En este esquema, cada unidad funcional puede acceder a cada unidad de almacenamiento, pero slo en una conexin de almacenamiento especfica. Se suministra una conexin de almacenamiento por unidad funcional. A las conexiones de almacenamiento suelen asignrselas prioridades permanentes para resolver los conflictos entre las unidades funcionales que intentan acceder al almacenamiento al mismo tiempo. Pgina 101 de 164

Una posibilidad interesante del esquema de interconexin mltiple es la capacidad de restringir el acceso de varias unidades de almacenamiento a ciertos subconjuntos de procesadores y procesadores de entrada/salida, creando as ciertas unidades de almacenamiento privadas. Una red omega est basada en conmutadores 2x2, cada uno con dos entradas y dos salidas. Cada conmutador puede dirigir cualquiera de las entradas a cualquiera de las salidas y todos los procesadores pueden acceder a todas las memorias. Puede conectar simultneamente todas las entradas a todas las salidas, suponiendo que no haya dos procesadores que intenten acceder al mismo tiempo al mismo mdulo de memoria. En caso contrario, se puede presentar contencin de acceso a la memoria. Los principales problemas que puede presentar son: a) Cuando algunos mdulos de memoria se referencian con mucha frecuencia, se produce un punto caliente, que bloquea ciertas rutas de comunicacin durante largos perodos de tiempo. b) Retraso en la conexin. Si hay n memorias y n procesadores, habr log2n etapas, cada una con n/2 conmutadores.

Conexiones Hipercubo
Un hipercubo es un cubo n-dimensional que cumple las siguientes condiciones: a) b) c) d) Est formado por 2*n procesadores. Cada procesador tiene n conexiones directas con otros procesadores. La mxima distancia entre dos nodos cualesquiera (nmero de enlaces fsicos entre nodos) es n. Es una estructura recursiva formada por dos hipercubos de dimensin n-1.

En las figuras se ilustra un hipercubo de dimensin 4 en el que cada vrtice es un procesador con su correspondiente memoria. Las principales ventajas de este esquema son:

a) La complejidad de los hipercubos crece logartmicamente con el nmero de nodos, por lo que son una buena base para realizar sistemas escalables. Se considera la solucin idnea para sistemas grandes (dimensin 10 a 1.024 procesadores). Pgina 102 de 164

b) La comunicacin entre nodos adyacentes es directa y el mayor retardo entre dos nodos est acotado por la dimensin del hipercubo.

Organizacin De Los Sistemas Operativos De Multiprocesadores Sistemas Ligeramente Acoplados v/s Sistemas Rgidamente Acoplados
El multiprocesamiento ligeramente acoplado incluye la conexin de dos o ms sistemas de computacin independientes por medio de un enlace de comunicacin. Cada sistema tiene su propio sistema operativo y almacenamiento. Los sistemas pueden funcionar de forma independiente, comunicndose cuando sea necesario. Los sistemas separados pueden acceder a los archivos de los otros a travs del enlace de comunicacin y, en algunos casos, pueden intercambiar tareas a procesadores menos cargados para lograr un cierto grado de equilibrio de la carga (sistemas RPC; Remote Procedure Call). El multiprocesamiento rgidamente acoplado utiliza un solo almacenamiento para varios procesadores y un solo sistema operativo que controla mientras compara todos los procesadores y el hardware del sistema. Una de las mayores diferencias entre los sistemas operativos de multiprocesadores y uniprocesadores est en su organizacin y estructura en relacin con los procesadores mltiples. Las tres organizaciones bsicas de los sistemas operativos para multiprocesadores son: Maestro/satlite Ejecutivo separado para cada procesador Tratamiento simtrico (o annimo) para todos los procesadores.

Maestro/Satlite
La maestro/satlite es la organizacin ms fcil de implementar y suele construirse por extensin directa de un sistema de multiprogramacin existente. En la organizacin maestro/satlite, slo un procesador particular, el maestro, puede ejecutar el sistema operativo. Un procesador satlite tan slo puede ejecutar programas del usuario.

Ejecutivos Separados
En la organizacin de ejecutivos separados, cada procesador tiene su propio sistema operativo y responde a interrupciones de los usuarios que operan en ese procesador. Algunas tablas contienen informacin global de todo el sistema: Por ejemplo, la lista de procesadores conocidos por el sistema y el acceso a estas tablas debe controlarse con cuidado, usando tcnicas de exclusin mutua.

Simtrico
El multiprocesamiento simtrico es la organizacin ms complicada de implementar y la ms poderosa. Todos los procesadores son idnticos. El sistema operativo administra un grupo de procesadores idnticos, cualquiera de los cuales puede ser utilizado para controlar cualquier dispositivo de entrada/salida, o hacer referencia a cualquier unidad de almacenamiento. Pgina 103 de 164

Consideraciones finales
Al momento de implementar estructuras de hardware de acuerdo a las necesidades del cliente, se habr de tener presente una serie de caractersticas generales de Hardware como los tipos de discos a implementar (capacidad, velocidad y confiabilidad) los tipos de monitores (resolucin, tamao) los dispositivos de comunicacin a incorporara (tarjetas de red, modem) los perifricos asociados (impresoras, escner, etc.) y, por supuesto, los medios de respaldo a implementar.

Pgina N 104 de 151