PDF de programación - Tema 7 - Seguridad y Protección

Tema 7

Seguridad y Proteccin

Sistemas Operativos

Tema 7 Seguridad y Protecci·on p. 1

˝ndice

1. Seguridad (Tanenbaum, 9.19.5), (Stallings, 15.115.4)
2. Mecanismos de proteccin (Tanenbaum, 9.6), (Stallings, 15.2)
3. Seguridad en Linux (Tanenbaum, 10.7)
4. Seguridad en Windows 2000 (Stallings, 15.6)

Tema 7 Seguridad y Protecci·on p. 2

˝ndice

1. Seguridad (Tanenbaum, 9.19.5), (Stallings, 15.115.4)
1.1. Tipos de amenazas a la seguridad
1.2. Autenticacin de usuarios por contraseæa
1.3. Ataques a la seguridad
1.4. Principios de diseæo para la seguridad

Tema 7 Seguridad y Protecci·on p. 3

Seguridad

Distincin entre seguridad y protecci ·on

Proteccin: Mecanismos que articula el S.O. para proteger la
informacin, los usuarios, los procesos, . . .
Seguridad: concepto mÆs Æmplio, que incluye seguridad fsica (p.
ej. ¿quiØn tiene acceso a los edicios?), etc.

Amenazas a la seguridad (requisitos de un sistema de
seguridad)

Condencialidad: Acceso slo a usuarios autorizados. (Este tipo de
acceso incluye la impresin, visualizacin y otras formas de revelacin,
incluyendo el simple revelado de la existencia de un objeto)
Integridad: Modicacin slo por los usuarios autorizados. (La
modicacin incluye escritura, cambio, cambio de estado, borrado y creacin)
Disponibilidad: Los recursos deben estar disponibles para los
usuarios autorizados (Si no, se produce la «denegacin de
servicio»)

Tema 7 Seguridad y Protecci·on p. 4

1.1 Tipos de amenazas a la seguridad

Interrupcin (afecta a la disponibilidad)

Se corta el ujo desde emisor al receptor. Se destruye el elemento del
sistema o se hace inaccesible o inœtil. (Ej.: destruccin de un disco duro, corte de
la lnea de comunicacin, inutilizacin del SF)
Intercepcin (afecta a la condencialidad)

Una tercera entidad se entera de la comunicacin. Una parte no
autorizada, que puede ser una persona, programa o computador,
consigue acceder a un elemento. (Ej.: copia ilcita de programas (piratera) o
cheros)

Modicacin (amenaza la integridad)

Una tercera entidad cambia los datos. Una parte no autorizada no slo
consigue acceder, sino que falsica un elemento. (Ej: cambio de valores de un
chero)

Invencin (tambiØn amenaza la integridad)

Una tercera entidad inventa datos no emitidos. Una parte no autorizada
inserta objetos falsos en el sistema. (Ej.: insercin de mensajes falsos en la red o
la adicin de registros a un chero)

Tema 7 Seguridad y Protecci·on p. 5

1.1 Tipos de amenazas a la seguridad (ii)

Origen

Destino

(a) flujo normal

Origen

Destino

Origen

Destino

(b) interrupcion

(c) intercepcion

Origen

Destino

Destino

(d) modificacion

(e) invencion

Tema 7 Seguridad y Protecci·on p. 6

1.1 Tipos de amenazas a la seguridad (iii)

Tema 7 Seguridad y Protecci·on p. 7

1.2 Autenticacin de usuarios por contraseæa

La seguridad depende de qui·en puede acceder al
sistema
Es muy importante la autenticaci ·on del usuario
Lo mÆs normal es utilizar ID+contraseæa
El ID determina si se tiene acceso y a quØ nivel (p.ej.
superusuario)
En UNIX: Se utiliza el algoritmo DES 25 veces
utilizando una base aleatoria de 12 bits. Se generan 11
caracteres + 2 de base. La base:

Impide ver las contraseæas iguales
Incrementa el nœmero de datos en la clave
Impide el uso de DES hardware
Funcin crypt(clave, salt);
crypt("hola, caracola","aq") ->aqFp.evU2e7T2
crypt("hola, caracola","as") ->ascKZQc0MMnkM

Tema 7 Seguridad y Protecci·on p. 8

1.2 Autenticacin de usuarios por contraseæa (ii)

Estrategias de eleccin de contraseæas

Las contraseæas son difciles de romper
(distributed.net)
Aunque el problema: los usuarios (longitud, palabras
sencillas, etc.)
TØcnicas para evitarlas:

Contraseæas largas, que no sean palabras de diccionario,
introducir dgitos, letras en mayœsculas y minœsculas y
caracteres especiales
Instruccin del usuario
Inspeccin proactiva de contraseæas
ƒ El administrador puede comprobar la robustez de las

contraseæas de los usuarios ejecutando Øl mismo
programas de «averiguacin de contraseæas» (crack)

Tema 7 Seguridad y Protecci·on p. 9

1.3 Ataques a la seguridad

Ataques genØricos a la seguridad

Se contrata a un equipo especializado
Solicitar pÆginas de memoria (o disco) y leerlas
Llamadas al sistema invÆlidas
Detencin de la conexin al sistema
Modicar las estructuras de la parte de usuario
Engaæe al usuario, escribiendo un programa «login»
Busque fallos en manuales («no use X»)
Convenza al administrador para que deje un sistema
«menos seguro»
Engaæar o sobornar al personal :-)

Tema 7 Seguridad y Protecci·on p. 10

1.3 Ataques a la seguridad (ii)

Amenazas a la seguridad con ataques especcos

Caballos de Troya: Sustituyen un comando interno
por otro que realiza labores ilegales (por ejemplo,
devolver informacin del sistema hacia afuera)
Falsicacin del inicio de sesin: Engaæan al
usuario, que escribe su login/password
Bombas lgicas: «Estallan» al cierto tiempo (ej.
viernes 13)
Trampas o «backdoors»: Programas con puertas
traseras
Desbordamiento de buffers: Sobrescriben partes del
programa con cdigo malicioso (p. ej. aprovechando
fallos de seguridad para convertirse en «root»)
Virus y gusanos

Tema 7 Seguridad y Protecci·on p. 11

1.4 Principios de diseæo para la seguridad

(Saltzer y Schrder)

El diseæo debe ser pœblico
El estado por defecto debe ser el de «no acceso»
La vericacin debe ser activa y continua
Dar a las entidades el m·nimo privilegio posible
El mecanismo de proteccin debe ser simple, uniforme
e integrado (no es un valor aæadido, sino una
caracterstica a todos los niveles)
Debe ser psicolgicamente aceptable por los usuarios

Tema 7 Seguridad y Protecci·on p. 12

˝ndice

2. Mecanismos de proteccin (Tanenbaum, 9.6), (Stallings, 15.2)
2.1. Objetivos de la proteccin
2.2. Dominios de proteccin
2.3. Matriz de proteccin
2.4. Listas de control de acceso
2.5. Capacidades
2.6. Mecanismos de llave y cerradura
2.7. Comparacin
2.8. Canales ocultos

Tema 7 Seguridad y Protecci·on p. 13

2. Mecanismos de proteccin

Proteccin: Mecanismos que articula el S.O. y el
hardware para conseguir la seguridad en el Æmbito del
S.O.
Mecanismos de proteccin (ya vimos algunos, de bajo
nivel)

Hardware de direccionamiento de memoria
Cronmetro
Modo dual, etc.

Mecanismos de mÆs alto nivel

Denicin de usuarios y objetos a proteger
Delimitar la informacin a la que puede acceder
cada usuario

Tema 7 Seguridad y Protecci·on p. 14

2.1 Objetivos de la proteccin

La proteccin controla el acceso a los recursos
Pol·tica vs. Mecanismo

Las polticas establecen quØ se va a proteger, quØ
usuarios van a poder acceder a quØ datos, etc. (p.
ej. Los contables no pueden acceder a la base de
datos de mÆrqueting, etc.)
Existen entonces una serie de mecanismos que
ofrece el S.O. para poder implementar las polticas
(permisos, cheros, usuarios, etc.)
Las polticas pueden cambiar y ademÆs dependen
de cada organizacin ) Los S.O. deben ofrecer
mecanismos generales y exibles que permitan
implementar las polticas

Tema 7 Seguridad y Protecci·on p. 15

2.2 Dominios de proteccin

De cara a la seguridad y la proteccin, un sistema se ve
como un conjunto de objetos que necesitan proteccin:
CPU, memoria, terminales, procesos, cheros, bases de datos
Cada objeto tiene un nombre œnico, y un conjunto de
operaciones
¿Cmo especicamos quØ le estÆ permitido a cada
usuario con cada objeto? ) DOMINIO
Un dominio representa un conjunto de permisos sobre
un conjunto de objetos:

Cjto. de parejas hobjeto, derechosi ) Derecho es el permiso
para realizar cierta tarea

Domain 1

Domain 2

Domain 3

File1[R]

File2[RW]

File3[R]
File4[RWX]
File5[RW]

Printer1[W]

File6[RWX]

Plotter2[W]

Tema 7 Seguridad y Protecci·on p. 16

2.3 Matriz de acceso o de proteccin

Podemos imaginar una matriz )
las · dominios
columnas · objetos
En cada casilla ) permisos
Las las representan los dominios: asocian objetos con
sus permisos
Las columnas representan los permisos de cada objeto
Si los procesos pueden cambiar de dominio ) Enter

Object
File6

File1

File2

File3

File4

File5

Read

Read
Write

Printer1 Plotter2

Domain1

Domain2 Domain3

Enter

Read

Read
Write
Execute

Read
Write

Write

Read
Write
Execute

Write

Write

Tema 7 Seguridad y Protecci·on p. 17

Domain
1

2

3

2.4 Listas de control de acceso (ACLs)

Las matrices no se implementan realmente
Las ACL almacenan la matriz por columnas
Cada objeto ) Lista con los dominios que pueden
tener acceso a ese objeto y la forma de dicho acceso

Tema 7 Seguridad y Protecci·on p. 18

2.5 Listas de capacidades

Almacena las. Para cada dominio hay un conjunto de objetos y de
posibilidades asociadas
A cada proceso se asocia una lista de objetos a que puede tener
acceso con una indicacin de las operaciones permitidas, e.d., a
cada proceso se le asocia su dominio
Esta lista se llama lista de posibilidades o capacidades, y los
elementos individuales posibilida