PDF de programación - 2. Conceptos básicos en seguridad informática

Imágen de pdf 2. Conceptos básicos en seguridad informática

2. Conceptos básicos en seguridad informáticagráfica de visualizaciones

Publicado el 6 de Febrero del 2019
391 visualizaciones desde el 6 de Febrero del 2019
533,2 KB
65 paginas
Creado hace 2a (21/11/2017)
2. Conceptos básicos en
seguridad informática



Estado de protección (I)

• Un Sistema de protección describe condiciones bajo las que

un sistema es seguro -> máquina de estados

• Siendo P un conjunto de todos los posibles estados seguros
del sistema, y Q el conjunto que define los estados de
protección en el cual el sistema está autorizado a residir, tal
que Q ⊆ P.
– Política de seguridad : caracterización de los estados del conjunto Q.
• Transición de estados: operaciones permitidas sobre

elementos de Q.
– Mecanismo de seguridad : prevención para que el sistema no entre en

ningún estado que no pertenezca a Q.

Conceptos básicos en seguridad informática

pag. 2

Estado de protección (II)

• Supongamos que el conjunto de mecanismos de
seguridad restringen al sistema a un conjunto de
estados M, entonces dicho conjunto de mecanismos se
dice que es :
– Seguro, si M ⊆ Q.
– Preciso, Si M = Q.
– Amplio, si existen estados m ∈ M que m ∉ Q.

• El objetivo es buscar la precisión en los resultados de

la aplicación de mecanismos de seguridad.

Conceptos básicos en seguridad informática

pag. 3

Matriz de control de accesos

• Modelo simple y preciso para describir, especificar los

estados de protección de un sistema (SO, BD).

• Definimos :

– Conjunto O de objetos protegidos (ficheros, máquinas,..)
– Conjunto S de objetos activos (sujetos). Inician transiciones

(procesos, usuarios,....)

– Conjunto P de permisos para operaciones sobre elementos de O.
– Matriz A, donde cada entrada a[s,o] ⊆ P, donde s ∈ S, y o ∈ O.
– Finalmente, la tupla (S,O,A) define el conjunto de estados

protegidos del sistema.

Conceptos básicos en seguridad informática

pag. 4

Ejemplo matriz de control de accesos

• Acceso de procesos a ficheros o a otros procesos.

– O = {proceso1, proceso2, fichero1, fichero2, fichero3}
– S = {proceso1, proceso2}
– P = {read(r), write(w), execute(x), append(a),own(o)}
– A :

fichero1

fichero2

fichero3

proceso1

proceso1

r,w,o

proceso2

a

r

r,o

r,w,x,o

w

r

r,w,x,o

Conceptos básicos en seguridad informática

pag. 5

Transición de estados de protección

• Teniendo un estado de protección de sistema X

)

,O
,A
i
i
i
, se aplicará una

=(S

i

y queremos pasar a una estado X

i+1

transición t

i+1

para pasar del estado X

al X

i+1

.

i

• Se puede representar una transición de estado por un

comando o procedimiento de transformación al cual se le
instancian determinados parámetros.
– CreaciónSujeto (s)
– CreaciónObjeto(o)
– AñadirPermiso(p,a[s,o]) QuitarPermiso(p,a[s,o])

SuprimirSujeto(s)
SuprimirObjeto(o)

Conceptos básicos en seguridad informática

pag. 6

Atenuación de privilegios: copia y

propiedad

• Principio de atenuación de privilegios : Un

sujeto no puede asignar a otro sujeto, permisos
que no posee.

• Permiso de copia : da derecho a asignar

permisos para otros (permiso “P” en Windows
NT)

• Permiso de propiedad: da derecho a añadir o

suprimir privilegios para si mismo.

Conceptos básicos en seguridad informática

pag. 7

Decidibilidad en seguridad

• ¿ Existe un algoritmo genérico que pueda determinar si

un estado es seguro o no ?

• En el caso abstracto no es decidible.
• Se buscan modelos más restringidos que permitan
determinar mediante un algoritmo si un estado es
seguro o no --> aplicación en políticas y composición
de políticas de seguridad :
– Modelo de protección de Adquirir-Asignar (Take-

Grant).

Conceptos básicos en seguridad informática

pag. 8

Planificación de la seguridad

• Planificar las necesidades en seguridad (nivel de

confianza).

• Evaluación de riesgos (identificación de los problemas).

• Análisis de costes/beneficios y mejores prácticas.

• Creación de políticas adaptadas a las necesidades.

• Implementación.

Conceptos básicos en seguridad informática

pag. 9

Planificar las necesidades

 Tipos :

– Confidencialidad (Privacidad) : ley de protección de datos.
– Integridad de datos.
– Disponibilidad.
– Consistencia.
– Control.
– Auditoría.
 Ejemplos :

– Banco: integridad, control y capacidades de auditoría
– Defensa : confidencialidad
– Universidad : integridad y disponibilidad

Conceptos básicos en seguridad informática

pag. 10

Evaluación de riesgos

 Qué proteger. Frente a qué proteger. Tiempo, esfuerzo y
dinero que se está dispuesto a invertir para una adecuada
protección.

 3 pasos :

– Identificación de bienes y su valor

– Identificación de peligros

– Cálculo de riesgos

Conceptos básicos en seguridad informática

pag. 11

Evaluación de riesgos (II)

 Problemas físicos :

– Fenómenos naturales : incendios, inundaciones, terremotos,...
– Acceso a componentes físicos del sistema : ordenador, consola de

administración, cables de red, etc.

 Problemas lógicos :

– Errores en los programas.
– Utilización incorrecta por parte de los usuarios (educación).
– Utilización fraudulenta del sistema.
– Principalmente, tres categorías :

 Contraseñas.
 Sistemas de ficheros.
 La red.

 Herramientas para la detección de riesgos informáticos.

Conceptos básicos en seguridad informática

pag. 12

Análisis de costes/beneficios y mejores

prácticas

 Coste de la pérdida.

 Probabilidad de pérdida.

 Coste de la prevención. Comparativas. Prioridades.

 Seguro = 1 / Utilizable.

 Mejores prácticas : recomendaciones, procedimientos y

políticas generalmente aceptadas por los expertos en
seguridad informática

Conceptos básicos en seguridad informática

pag. 13

Políticas de seguridad

 Roles :

– Identificación y justificación de los elementos a proteger.

– Definir responsabilidades para dicha protección.

– Base de interpretación y resolución de conflictos.

 Procedimientos estándares.

 Guías.

Conceptos básicos en seguridad informática

pag. 14

Políticas de seguridad (II)

 Ideas en el desarrollo de políticas :

– Asignar propiedad a información y equipos.
– Enfocar la expresión de políticas de forma positiva.
– Recordar que empleados y usuarios son personas
– Educar a los usuarios.
– Responsabilidad debe conllevar autoridad.
– Conocer el périmetro de seguridad (portátiles, PDAs, redes

inalámbricas, ordenadores utilizados en casa, DVDs, discos extraibles,
visitas, impresoras, copiadoras, fax,..)

– Decidir filosofía básica (permitido lo no especificado o inversa)
– Niveles independientes y redundantes de defensa a varios niveles, con

auditoría y monitorización

Conceptos básicos en seguridad informática

pag. 15

Implementación

• Gestión de riesgos supone sentido común.

– Uso de tecnologías y educación de personas
– Múltiples niveles de defensa
– Priorizar

• Auditorías de cumplimiento de políticas. Problemas :

– Personal insuficiente (falta formación, sobrecarga,..)
– Material insuficiente (inadecuación de recursos, sobrecarga,..)
– Organización insuficiente (asignación responsabilidades y

autoridades, conflictos de responsabilidades, tareas poco claras)

– Política insuficiente (riesgos no previstos, incompletud, conflictos

de políticas, discordancia entre políticas y contexto)

Conceptos básicos en seguridad informática

pag. 16

Implementación (II)

• Respuestas a incidentes

• Definir que elementos se subcontratan y cómo.

• No se recomienda seguridad mediante oscuridad.

• Tecnología : sistemas y criptografía.

Conceptos básicos en seguridad informática

pag. 17

Principios básicos prevención

• Modelos de Protección

• Autentificación (quién es quién) : identificación digital

• Autorización (a quién se le deja hacer qué) :

– Permisos y privilegios

– Control de accesos

Conceptos básicos en seguridad informática

pag. 18

Elementos básicos de implementación

técnica

• Representación de identidades :

– Máquinas (IP, DNS,...)
– Ficheros, procesos, objetos (identificadores numéricos de

sistema)

– Usuarios (cuentas de usuario)
– Grupos y roles (accesos basados en roles)
– Certificados (confianza aportada por terceros)
– Estado y cookies (identidad en conexión web)
– Anonimidad (en conexiones web)

Conceptos básicos en seguridad informática

pag. 19

Elementos básicos de implementación

técnica (II)

• Mecanismos de control de acceso

– Listas de control de acceso (ACLs sistemas de ficheros)
– Capabilities (llaves de permiso de acceso sin identificación directa)
– Cerraduras y llaves

• Criptografía
• Controles del flujo de información :
– Mecanismos basados en compiladores
– Mecanismos basados en ejecución

• Confinamiento :

– Máquinas virtuales
– Cubos de arena (sandboxes)

Conceptos básicos en seguridad informática

pag. 20

Ejemplo: Conceptos de seguridad en Java

• Evolución :

– 1.0 : modelo de cubo de arena (sandbox) :

• Acceso total a todo el código local
• Acceso completamente restringido a código Java applets

– 1.1 : Introducción de applets firmados :

• Acceso total a código local y applets firmados
• Acceso completamente restringido a applets no firmados.

– Java 2 : servicio de seguridad en ejecución genérico para çodigo

local y applets. Concepto básico de Dominios de Protección.

Conceptos básicos en seguridad informática

pag. 21

Seguridad Java 2 (I)

• Seguridad del núcleo (java runtime) :

– Verificador de Byte-Code
– Cargador de clases
– Origen del código (URL, certificados digitales,..)
– Clases de permisos : definen acceso a recursos de sistema

(ficheros, sockets, .....)

– Dominios de protección : relaciones de grupos de clases con

dominios de protección donde se definen permisos..

– Políticas : conjunto de permisos y dominios.
– Gestor de seguridad :verifica autorizaciones (permisos)
– Controlador de accesos : control a aspectos de más bajo nivel.

Conceptos básicos en seguridad informática

pag. 22

Seguridad Java 2 (II)

– Almacén de claves : contiene claves privadas y certificados,

cifrados.

• Extensiones de seguridad :

– Servicio de autentificación y autorización de Java (JAAS)

• Definición de permisos de ejecución de código Java

específico

– Extensión de sockets segur
  • Links de descarga
http://lwp-l.com/pdf15093

Comentarios de: 2. Conceptos básicos en seguridad informática (0)


No hay comentarios
 

Comentar...

Nombre
Correo (no se visualiza en la web)
Valoración
Comentarios
Es necesario revisar y aceptar las políticas de privacidad