PDF de programación - 2. Conceptos básicos en seguridad informática

Imágen de pdf 2. Conceptos básicos en seguridad informática

2. Conceptos básicos en seguridad informáticagráfica de visualizaciones

Publicado el 6 de Febrero del 2019
545 visualizaciones desde el 6 de Febrero del 2019
533,2 KB
65 paginas
Creado hace 2a (21/11/2017)
2. Conceptos básicos en
seguridad informática



Estado de protección (I)

• Un Sistema de protección describe condiciones bajo las que

un sistema es seguro -> máquina de estados

• Siendo P un conjunto de todos los posibles estados seguros
del sistema, y Q el conjunto que define los estados de
protección en el cual el sistema está autorizado a residir, tal
que Q ⊆ P.
– Política de seguridad : caracterización de los estados del conjunto Q.
• Transición de estados: operaciones permitidas sobre

elementos de Q.
– Mecanismo de seguridad : prevención para que el sistema no entre en

ningún estado que no pertenezca a Q.

Conceptos básicos en seguridad informática

pag. 2

Estado de protección (II)

• Supongamos que el conjunto de mecanismos de
seguridad restringen al sistema a un conjunto de
estados M, entonces dicho conjunto de mecanismos se
dice que es :
– Seguro, si M ⊆ Q.
– Preciso, Si M = Q.
– Amplio, si existen estados m ∈ M que m ∉ Q.

• El objetivo es buscar la precisión en los resultados de

la aplicación de mecanismos de seguridad.

Conceptos básicos en seguridad informática

pag. 3

Matriz de control de accesos

• Modelo simple y preciso para describir, especificar los

estados de protección de un sistema (SO, BD).

• Definimos :

– Conjunto O de objetos protegidos (ficheros, máquinas,..)
– Conjunto S de objetos activos (sujetos). Inician transiciones

(procesos, usuarios,....)

– Conjunto P de permisos para operaciones sobre elementos de O.
– Matriz A, donde cada entrada a[s,o] ⊆ P, donde s ∈ S, y o ∈ O.
– Finalmente, la tupla (S,O,A) define el conjunto de estados

protegidos del sistema.

Conceptos básicos en seguridad informática

pag. 4

Ejemplo matriz de control de accesos

• Acceso de procesos a ficheros o a otros procesos.

– O = {proceso1, proceso2, fichero1, fichero2, fichero3}
– S = {proceso1, proceso2}
– P = {read(r), write(w), execute(x), append(a),own(o)}
– A :

fichero1

fichero2

fichero3

proceso1

proceso1

r,w,o

proceso2

a

r

r,o

r,w,x,o

w

r

r,w,x,o

Conceptos básicos en seguridad informática

pag. 5

Transición de estados de protección

• Teniendo un estado de protección de sistema X

)

,O
,A
i
i
i
, se aplicará una

=(S

i

y queremos pasar a una estado X

i+1

transición t

i+1

para pasar del estado X

al X

i+1

.

i

• Se puede representar una transición de estado por un

comando o procedimiento de transformación al cual se le
instancian determinados parámetros.
– CreaciónSujeto (s)
– CreaciónObjeto(o)
– AñadirPermiso(p,a[s,o]) QuitarPermiso(p,a[s,o])

SuprimirSujeto(s)
SuprimirObjeto(o)

Conceptos básicos en seguridad informática

pag. 6

Atenuación de privilegios: copia y

propiedad

• Principio de atenuación de privilegios : Un

sujeto no puede asignar a otro sujeto, permisos
que no posee.

• Permiso de copia : da derecho a asignar

permisos para otros (permiso “P” en Windows
NT)

• Permiso de propiedad: da derecho a añadir o

suprimir privilegios para si mismo.

Conceptos básicos en seguridad informática

pag. 7

Decidibilidad en seguridad

• ¿ Existe un algoritmo genérico que pueda determinar si

un estado es seguro o no ?

• En el caso abstracto no es decidible.
• Se buscan modelos más restringidos que permitan
determinar mediante un algoritmo si un estado es
seguro o no --> aplicación en políticas y composición
de políticas de seguridad :
– Modelo de protección de Adquirir-Asignar (Take-

Grant).

Conceptos básicos en seguridad informática

pag. 8

Planificación de la seguridad

• Planificar las necesidades en seguridad (nivel de

confianza).

• Evaluación de riesgos (identificación de los problemas).

• Análisis de costes/beneficios y mejores prácticas.

• Creación de políticas adaptadas a las necesidades.

• Implementación.

Conceptos básicos en seguridad informática

pag. 9

Planificar las necesidades

 Tipos :

– Confidencialidad (Privacidad) : ley de protección de datos.
– Integridad de datos.
– Disponibilidad.
– Consistencia.
– Control.
– Auditoría.
 Ejemplos :

– Banco: integridad, control y capacidades de auditoría
– Defensa : confidencialidad
– Universidad : integridad y disponibilidad

Conceptos básicos en seguridad informática

pag. 10

Evaluación de riesgos

 Qué proteger. Frente a qué proteger. Tiempo, esfuerzo y
dinero que se está dispuesto a invertir para una adecuada
protección.

 3 pasos :

– Identificación de bienes y su valor

– Identificación de peligros

– Cálculo de riesgos

Conceptos básicos en seguridad informática

pag. 11

Evaluación de riesgos (II)

 Problemas físicos :

– Fenómenos naturales : incendios, inundaciones, terremotos,...
– Acceso a componentes físicos del sistema : ordenador, consola de

administración, cables de red, etc.

 Problemas lógicos :

– Errores en los programas.
– Utilización incorrecta por parte de los usuarios (educación).
– Utilización fraudulenta del sistema.
– Principalmente, tres categorías :

 Contraseñas.
 Sistemas de ficheros.
 La red.

 Herramientas para la detección de riesgos informáticos.

Conceptos básicos en seguridad informática

pag. 12

Análisis de costes/beneficios y mejores

prácticas

 Coste de la pérdida.

 Probabilidad de pérdida.

 Coste de la prevención. Comparativas. Prioridades.

 Seguro = 1 / Utilizable.

 Mejores prácticas : recomendaciones, procedimientos y

políticas generalmente aceptadas por los expertos en
seguridad informática

Conceptos básicos en seguridad informática

pag. 13

Políticas de seguridad

 Roles :

– Identificación y justificación de los elementos a proteger.

– Definir responsabilidades para dicha protección.

– Base de interpretación y resolución de conflictos.

 Procedimientos estándares.

 Guías.

Conceptos básicos en seguridad informática

pag. 14

Políticas de seguridad (II)

 Ideas en el desarrollo de políticas :

– Asignar propiedad a información y equipos.
– Enfocar la expresión de políticas de forma positiva.
– Recordar que empleados y usuarios son personas
– Educar a los usuarios.
– Responsabilidad debe conllevar autoridad.
– Conocer el périmetro de seguridad (portátiles, PDAs, redes

inalámbricas, ordenadores utilizados en casa, DVDs, discos extraibles,
visitas, impresoras, copiadoras, fax,..)

– Decidir filosofía básica (permitido lo no especificado o inversa)
– Niveles independientes y redundantes de defensa a varios niveles, con

auditoría y monitorización

Conceptos básicos en seguridad informática

pag. 15

Implementación

• Gestión de riesgos supone sentido común.

– Uso de tecnologías y educación de personas
– Múltiples niveles de defensa
– Priorizar

• Auditorías de cumplimiento de políticas. Problemas :

– Personal insuficiente (falta formación, sobrecarga,..)
– Material insuficiente (inadecuación de recursos, sobrecarga,..)
– Organización insuficiente (asignación responsabilidades y

autoridades, conflictos de responsabilidades, tareas poco claras)

– Política insuficiente (riesgos no previstos, incompletud, conflictos

de políticas, discordancia entre políticas y contexto)

Conceptos básicos en seguridad informática

pag. 16

Implementación (II)

• Respuestas a incidentes

• Definir que elementos se subcontratan y cómo.

• No se recomienda seguridad mediante oscuridad.

• Tecnología : sistemas y criptografía.

Conceptos básicos en seguridad informática

pag. 17

Principios básicos prevención

• Modelos de Protección

• Autentificación (quién es quién) : identificación digital

• Autorización (a quién se le deja hacer qué) :

– Permisos y privilegios

– Control de accesos

Conceptos básicos en seguridad informática

pag. 18

Elementos básicos de implementación

técnica

• Representación de identidades :

– Máquinas (IP, DNS,...)
– Ficheros, procesos, objetos (identificadores numéricos de

sistema)

– Usuarios (cuentas de usuario)
– Grupos y roles (accesos basados en roles)
– Certificados (confianza aportada por terceros)
– Estado y cookies (identidad en conexión web)
– Anonimidad (en conexiones web)

Conceptos básicos en seguridad informática

pag. 19

Elementos básicos de implementación

técnica (II)

• Mecanismos de control de acceso

– Listas de control de acceso (ACLs sistemas de ficheros)
– Capabilities (llaves de permiso de acceso sin identificación directa)
– Cerraduras y llaves

• Criptografía
• Controles del flujo de información :
– Mecanismos basados en compiladores
– Mecanismos basados en ejecución

• Confinamiento :

– Máquinas virtuales
– Cubos de arena (sandboxes)

Conceptos básicos en seguridad informática

pag. 20

Ejemplo: Conceptos de seguridad en Java

• Evolución :

– 1.0 : modelo de cubo de arena (sandbox) :

• Acceso total a todo el código local
• Acceso completamente restringido a código Java applets

– 1.1 : Introducción de applets firmados :

• Acceso total a código local y applets firmados
• Acceso completamente restringido a applets no firmados.

– Java 2 : servicio de seguridad en ejecución genérico para çodigo

local y applets. Concepto básico de Dominios de Protección.

Conceptos básicos en seguridad informática

pag. 21

Seguridad Java 2 (I)

• Seguridad del núcleo (java runtime) :

– Verificador de Byte-Code
– Cargador de clases
– Origen del código (URL, certificados digitales,..)
– Clases de permisos : definen acceso a recursos de sistema

(ficheros, sockets, .....)

– Dominios de protección : relaciones de grupos de clases con

dominios de protección donde se definen permisos..

– Políticas : conjunto de permisos y dominios.
– Gestor de seguridad :verifica autorizaciones (permisos)
– Controlador de accesos : control a aspectos de más bajo nivel.

Conceptos básicos en seguridad informática

pag. 22

Seguridad Java 2 (II)

– Almacén de claves : contiene claves privadas y certificados,

cifrados.

• Extensiones de seguridad :

– Servicio de autentificación y autorización de Java (JAAS)

• Definición de permisos de ejecución de código Java

específico

– Extensión de sockets segur
  • Links de descarga
http://lwp-l.com/pdf15093

Comentarios de: 2. Conceptos básicos en seguridad informática (0)


No hay comentarios
 

Comentar...

Nombre
Correo (no se visualiza en la web)
Valoración
Comentarios...
CerrarCerrar
CerrarCerrar
Cerrar

Tienes que ser un usuario registrado para poder insertar imágenes, archivos y/o videos.

Puedes registrarte o validarte desde aquí.

Codigo
Negrita
Subrayado
Tachado
Cursiva
Insertar enlace
Imagen externa
Emoticon
Tabular
Centrar
Titulo
Linea
Disminuir
Aumentar
Vista preliminar
sonreir
dientes
lengua
guiño
enfadado
confundido
llorar
avergonzado
sorprendido
triste
sol
estrella
jarra
camara
taza de cafe
email
beso
bombilla
amor
mal
bien
Es necesario revisar y aceptar las políticas de privacidad