19-03-2012

AGENDA

Criterios de Evaluacin de Seguridad

Objetivos TCSEC TCSEC: Divisiones y Niveles (o clases)

Clase D Clase C Clase B Clase A

Los Criterios Comunes

Organizacin Partes Proceso Niveles

OBJETIVOS

TRUSTED COMPUTER SYSTEM EVALUATION CRITERIA (TCSEC)

Comentar sobre la creacin de criterios para evaluacin de seguridad Destacar el rol que jug el departamento de defensa de USA con el TCSEC Mencionar los diferentes niveles de seguridad del TCSEC Explicar en que consiste Los Criterios Comunes/ISO 15408

Es un estndar del departamento de defensa del USA Establece los requisitos bsicos para evaluar la eficacia de los controles de seguridad integrados en un sistema informtico Se utiliz para evaluar, clasificar y seleccionar los sistemas informticos que se consideraban para el procesamiento, almacenamiento y recuperacin de informacin sensible o informacin clasificada .
http://www.fas.org/irp/nsa/rainbow.htm

TCSEC: Objetivos

TCSEC: Divisiones y Niveles Divisiones D Proteccin Mnima C Proteccin Discrecional Clases o Niveles D1 Proteccin mnima C1 Proteccin de Seguridad Discrecional C2 Proteccin de Control de Acceso B Proteccin Mandataria B1 Proteccin de seguridad etiquetada B2 Proteccin estructurada B3 Dominios de Seguridad A Proteccin Verificable A1 Diseo Verificado A2 Ms que A1

Poltica de Seguridad
La poltica de seguridad debe ser explcita, bien definida e impuesta por el sistema informtico. Hay dos polticas bsicas de seguridad: Mandataria: Se sustenta sobre reglas de control de acceso basadas directamente en Discrecional:

19-03-2012

TCSEC: D - Proteccin Mnima Esta divisin contiene slo una clase Est reservado para los sistemas que han sido evaluados, pero que no cumplen con los requisitos para una divisin ms alta Son sistemas no confiables, no hay proteccin para el hardware, el sistema operativo es inestable y no hay autentificacin con respecto a los usuarios y sus derechos en el acceso a la informacin Los sistemas operativos que responden a este nivel son MS-DOS y System 7.0 de Macintosh

TCSEC: C Proteccin Discrecional C1 Proteccin de Seguridad Discrecional

Se requiere identificacin de usuarios que permite el acceso a distinta informacin. Cada usuario puede manejar su informacin privada y se hace la distincin entre los usuarios y el administrador del sistema, quien tiene control total de acceso. Acceso de control discrecional: distincin entre usuarios y recursos. Se podrn definir grupos de usuarios (con los mismos privilegios) y grupos de objetos (archivos, directorios, disco) sobre los cuales podrn actuar usuarios o grupos de ellos Identificacin y Autentificacin: se requiere que un usuario se identifique antes de comenzar a ejecutar acciones sobre el sistema. El dato de un usuario no podr ser accedido por un usuario sin autorizacin o identificacin

TCSEC: C Proteccin Discrecional

C2 - Proteccin de Acceso Controlado
Auditoria de accesos e intentos fallidos de acceso a objetos. Tiene la capacidad de restringir an ms el que los usuarios ejecuten ciertos comandos o tengan acceso a ciertos archivos, permitir o denegar datos a usuarios en concreto, con base no slo en los permisos, sino tambin en los niveles de autorizacin. Requiere que se audite el sistema. Esta auditora es utilizada para llevar registros de todas las acciones relacionadas con la seguridad, como las actividades efectuadas por el administrador del sistema y sus usuarios. La auditora requiere de autenticacin adicional para estar seguros de que la persona que ejecuta el comando es quien dice ser. Su mayor desventaja reside en los recursos adicionales requeridos por el procesador y el subsistema de discos. Los usuarios de un sistema C2 tienen la autorizacin para realizar algunas tareas de administracin del sistema sin necesidad de ser administradores.

TCSEC: B Proteccin Mandataria Nivel B1 - Seguridad Etiquetada

Soporta seguridad multinivel, como la secreta y ultrasecreta. Se establece que el dueo del archivo no puede modificar los permisos de un objeto que est bajo control de acceso obligatorio. A cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta, con un nivel de seguridad jerrquico (alto secreto, secreto, reservado, etc.) y con unas categoras (contabilidad, nminas, ventas, etc.). Cada usuario que accede a un objeto debe poseer un permiso expreso para hacerlo y viceversa, es decir que cada usuario tiene sus objetos asociados. Tambin se establecen controles para limitar la propagacin de derecho de accesos a los distintos objetos.

TCSEC: B Proteccin Mandataria Nivel B2: Proteccin Estructurada

Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto inferior. La Proteccin Estructurada es la primera que empieza a referirse al problema de un objeto a un nivel ms elevado de seguridad en comunicacin con otro objeto a un nivel inferior (as, un disco rgido ser etiquetado por almacenar archivos que son accedidos por distintos usuarios). El sistema es capaz de alertar a los usuarios si sus condiciones de accesibilidad y seguridad son modificadas; y el administrador es el encargado de fijar los canales de almacenamiento y ancho de banda a utilizar por los dems usuarios.

TCSEC: B Proteccin Mandataria

Nivel B3: Dominios de Seguridad
Refuerza a los dominios con la instalacin de hardware: por ejemplo el hardware de administracin de memoria se usa para proteger el dominio de seguridad de acceso no autorizado a la modificacin de objetos de diferentes dominios de seguridad. Existe un monitor de referencia que recibe las peticiones de acceso de cada usuario y las permite o las deniega segn las polticas de acceso que se hayan definido. Todas las estructuras de seguridad deben ser lo suficientemente pequeas como para permitir anlisis y testeos ante posibles violaciones. Este nivel requiere que la terminal del usuario se conecte al sistema por medio de una conexin segura. Adems, cada usuario tiene asignado los lugares y objetos a los que puede acceder

19-03-2012

TCSEC: A Proteccin Verificada Nivel A: Proteccin Verificada

Es el nivel ms elevado, incluye un proceso de diseo, control y verificacin, mediante mtodos formales (matemticos) para asegurar todos los procesos que realiza un usuario sobre el sistema. Para llegar a este nivel de seguridad, todos los componentes de los niveles inferiores deben incluirse. El diseo requiere ser verificado de forma matemtica y tambin se deben realizar anlisis de canales encubiertos y de distribucin confiable. El software y el hardware son protegidos para evitar infiltraciones ante traslados o movimientos del equipamiento.

TCSEC

El TCSEC, a menudo referido como el Libro Naranja, es la pieza central del Departamento de Defensa de la serie Rainbow publicaciones. Inicialmente publicado en 1983 por el National Computer Security Center (NCSC), un brazo de la Agencia de Seguridad Nacional , y luego actualizado en 1985, TCSEC fue sustituido por el Common Criteria estndar internacional publicado originalmente en 2005.

Resumen

Los Criterios Comunes

Ident/Authent DAC Audit MAC Labeled Output Device Labels Object Reuse Trusted Path

C1 N N

C2 N N N

B1 N = N N N

B2 = = N N = N

B3 A1 = = N = N = =

B3 A1 = = N = N = =

La norma ISO/IEC 15408 define un criterio estndar a usar como base para la evaluacin de las propiedades y caractersticas de seguridad de determinado producto o sistema IT. Proporciona una gua muy til a diferentes perfiles relacionados con las tecnologas de la seguridad:
Desarrolladores de productos o sistemas de tecnologas de la informacin, que pueden ajustar sus diseos. Consumidores que pueden conocer el nivel de confianza y seguridad que los productos de tecnologas de la informacin y sistemas le ofrecen. Evaluadores de seguridad, que juzgan y certifican en que medida se ajusta una especificacin de un producto o sistema IT a los requisitos de seguridad deseados

= N

Organizacin de CC Establece una clasificacin jerrquica de los requisitos de seguridad. Se determinan diferentes tipos de agrupaciones de los requisitos:
Clase: Conjunto de familias comparten un mismo objetivo de seguridad. Familia: un grupo de componentes que comparten objetivos de seguridad pero con diferente nfasis o rigor. Componente: un pequeo grupo de requisitos muy especficos y detallados. Es el menor elemento seleccionable para incluir en los documentos de perfiles de proteccin (PP) y especificacin de objetivos de seguridad (ST).

Ejemplo de clasificacin

Autenticacin:
Clase: Identificacin y autenticacin Familias de la clase:
Fallos de autenticacin Definicin de atributos de usuario Autenticacin de usuario Identificacin de usuario

Componentes de la familia Autenticacin de usuario

Tiempo de espera para la autenticacin Acciones antes de autenticar Mecanismos de autenticacin simple Mecanismos de autenticacin mltiple

19-03-2012

CC: Parte 1. Introduccin y modelo general

Define los principios y conceptos generales de la evaluacin de la seguridad en tecnologas de la informacin y presenta el modelo general de evaluacin. Establece cmo se pueden realizar especificaciones formales de sistemas o productos IT atendiendo a los aspectos de seguridad de la informacin y su tratamiento.
Protection Profile (PP): un conjunto de requisitos funcionales y de garantas independientes de implementacin dirigidos a identificar un conjunto determinado de objetivos de seguridad en un determinado dominio. Especifica de forma general que se desea y necesita respecto a la seguridad de un determinado dominio de seguridad. Ejemplos podran ser PP sobre firewalls, PP sobre control de acceso, etc. Security Target (ST): un conjunto de requisitos funcionales y de garantas usado como especificaciones de seguridad de un producto o sistema concreto. Especifica que requisitos de seguridad proporciona o satisface un producto o sistema, ya basados en su implementacin. Ejemplos podran ser ST para Oracle v.7, ST para CheckPoint Firewall-1 etc.

CC: Parte 2. Requisitos Funcionales de Seguridad

Definen un comportamiento deseado en materia de seguridad de un determinado producto o sistema IT y se agrupa en clases. Contiene las siguientes clases:
FAU- Auditoria FCO- Comunicaciones FCS- Soporte criptogrfico FDP- Proteccin de datos de usuario FIA- Identificacin y autenticacin de usuario FMT- Gestin de la seguridad FPR- Privacidad FPT- Proteccin de las funciones de seguridad del objetivo a evaluar FRU- Utilizacin de recursos FTA- Acceso al objetivo de evaluacin FTP- Canales seguros

CC: Parte 3. Requisitos de Garantas de Seguridad

Establecen los niveles de confianza que ofrecen funciones de seguridad del producto o sistema. Trata de evaluar que garantas proporciona el producto o sistema en base a los requisitos que se satisfacen a lo largo del ciclo de vida del producto o sistema. Contiene las siguientes clases:
ACM- Gestin de la configuracin ADO- Operacin y entrega ADV- Desarrollo AGD- Documentacin y guas ALC- Ciclo de vida ATE- Prueba AVA- Evaluacin de vulnerabilidades APE- Evaluacin de perfiles de proteccin (PP) ASE- Evaluacin de objetivos de seguridad (ST) AMA- Mantenimiento de garantas

Proceso de Evaluacin

Evaluacin de Perfiles de Proteccin (PP)

El objetivo de tal evaluacin es demostrar que un PP es completo, consistente y tcnicamente slido. Podr ser utilizado como base para establecer requisitos destinados a definir un objetivo de seguridad (ST). Herramienta til ya que permite definir especificaciones de seguridad independientes de implementacin, que pueden ser utilizadas como base de especificaciones para productos o sistemas.

Evaluacin de Objetivos de Evaluacin (TOE)

Utilizando un objetivo de seguridad (ST) previamente evaluado como base, el objetivo de la evaluacin es demostrar que todos los requisitos establecidos en el ST se encuentran implementados en el producto o sistema IT.

Niveles de Seguridad
EAL 1. Functionally tested Realizado a travs del anlisis de las funciones de seguridad usando especificaciones informales de aspectos funcionales, de interfaz y las guas y documentacin del producto o sistema IT para entender el comportamiento de seguridad. Es aplicable cuando se requiere confianza en la correcta operacin pero las amenazas de seguridad no se contemplan como un peligro serio. Este tipo de evaluacin proporciona evidencias de que las funciones de seguridad del TOE se encuentran implementadas de forma consistente con su documentacin y proporcionan una proteccin adecuada contra las amenazas identificadas.

Niveles de Seguridad EAL 2. Structurally tested

Exige haber realizado una descripcin informal del diseo detallado, haber realizado pruebas en el desarrollo en base a las especificaciones funcionales , una confirmacin independiente de esas pruebas, un anlisis de la fuerza de las funciones de seguridad implementadas y evidencias de que el desarrollo ha verificado la respuesta del producto o sistema IT a las vulnerabilidades ms comunes. Requiere de la cooperacin del equipo de desarrollo que entregue informacin sobre el diseo y resultados de pruebas. Este tipo de evaluacin es adecuado en circunstancias en donde desarrolladores o usuarios requieren cierto nivel de garantas de seguridad cuando no tienen acceso a toda la documentacin generada en la fase de desarrollo.

19-03-2012

Niveles de Seguridad EAL 3. Methodically tested and checked

Este nivel establece unos requisitos que obligan en la fase de diseo a un desarrollo metdico determinado. Este nivel aade a los requisitos del nivel anterior, el uso de controles de seguridad en los procesos de desarrollo que garantizan que el producto no ha sido manipulado durante su desarrollo. Por tanto, se realiza un anlisis de las funciones de seguridad, en base a las especificaciones funcional de alto nivel, la documentacin, guas del producto y los test obtenidos en la fase de prueba.

Niveles de Seguridad EAL 4. Methodically designed, tested and reviewed

Requiere un anlisis de vulnerabilidad independiente que demuestre resistencia a intrusos con bajo potencial de ataque y una especificacin de bajo nivel del diseo de la implementacin

EAL 5. Semiformally designed and tested

Requiere de descripciones semiformales del diseo y la arquitectura adems de completa documentacin de la implementacin. Se realiza un completo anlisis de vulnerabilidad que pruebe la resistencia frente atacantes de potencial medio y mejora los mecanismos de control para garantizar y demostrar que el producto no es manipulado con respecto a las especificaciones durante el desarrollo.

Niveles de Seguridad
EAL 6. Semiformally verified design and tested
Aade un detallado anlisis de las funciones de seguridad, una representacin estructurada de su implementacin y semiformal demostracin de la correspondencia entre las especificaciones de alto y bajo nivel con la implementacin. Adems debe demostrarse con un anlisis de vulnerabilidades independiente, que en el desarrollo se ha probado la robustez de las funciones de seguridad frente a atacantes de alto potencial de dao.

Referencias http://www.oc.ccn.cni.es http://www.commoncriteriaportal.org http://www.enisa.europa.eu http://www.iso15408.net/ http://www.fas.org/irp/nsa/rainbow.htm http://en.wikipedia.org/wiki/ITSEC http://www.dsd.gov.au/infosec

EAL 7. Formally verified design and tested

Es el nivel de certificacin ms alto. Debe probarse formalmente las fases de desarrollo y prueba. Adems se exige una evaluacin independiente de la confirmacin de los resultados obtenidos, de las pruebas para detectar vulnerabilidades durante la fase de desarrollo as como sobre la robustez de las funciones de evaluacin. Adems, deber realizarse un anlisis independiente de vulnerabilidades para demostrar resistencia frente a un atacante de alto potencial.

Criterios de Evaluacin de Seguridad