INGENIERIA EN SISTEMAS

COMPUTACIONALES

SISTEMAS OPERATIVOS

GUILLERMO REZA

RAMIREZ SOSA EUNICE

6SIS 2B

24/AGOSTO/2014

SISTEMAS OPERATIVOS
RAMIREZ SOSA EUNICE
2

SEGURIDAD MULTINIVEL
La seguridad multinivel son aquellos sistemas operativos y bases de datos que
contienen objetos con diferentes niveles de sensibilidad (confidencialidad o
integridad). El acceso a los objetos se concede, o no, tras comprobar el nivel
de sensibilidad del objeto con la habilitacin del sujeto.
El control de acceso a discrecin es una poltica donde la mayora de los
sistemas operativos permiten a usuarios individuales determinar quin puede
leer y escribir sus archivos y otros objetivos. En muchos entornos este modelo
funciona satisfactoriamente, pero en otros casos requieren una seguridad ms
firme, como controles de acceso obligatorio, para garantizar que el sistema
haga cumplir las polticas de seguridad establecidas, adems de los controles
de acceso a discrecin estndar. Lo que hacen esos controles de acceso
obligatorios es regular el flujo de informacin, para garantizar que no se filtren
en forma indebida.
Hay dos contextos para el uso de varios niveles de seguridad. Uno de ellos es
para referirse a un sistema que es adecuada para protegerse de la subversin
y cuenta con mecanismos slidos a los dominios de informacin
independientes, es decir, de confianza. Otro contexto es referirse a una
solicitud de un equipo que se requiere que el equipo sea lo suficientemente
fuerte como para protegerse de la subversin y poseer mecanismos adecuados
para dominios de informacin por separado, es decir, un sistema que debemos
confiar. Esta distincin es importante porque los sistemas que necesitan ser de
confianza no son necesariamente dignos de confianza.
El objetivo de esos sistemas es el control estricto del flujo de informacin. El
origen de estos sistemas son centros de investigacin militares.
EL MODELO BELL-LA PADULA
Los autores de este modelo son David Bell y Lel LaPadula, en el ao 1973, con
la motivacin de aplicarlo a Sistemas Operativos complejos y vulnerable y
trabajando en tiempo compartido
Este modelo de seguridad multinivel es el ms utilizado, el cual se dise para
manejar seguridad militar, pero tambin puede aplicarse a otras
organizaciones. Los objetos (documentos) pueden tener un nivel de seguridad,
como: no clasificado, confidencial, secreto y secreto mximo. Tambin se
asignan estos niveles a personas, dependiendo de qu documentos estn
autorizados para ver.
Ejemplo: un general podra tener permiso de ver todos los documentos,
mientras que un teniente podra estar restringido a documentos de nivel
confidencial o ms bajo
SISTEMAS OPERATIVOS
RAMIREZ SOSA EUNICE
3

Un proceso que se ejecuta a nombre de un usuario adquiere el nivel de
seguridad del usuario. Puesto que hay mltiples niveles de seguridad, este
esquema se denomina sistema de seguridad multinivel.
REGLAS QUE RIGEN EL FLUJO DE INFORMACION
Estas reglas determinan si un sujeto puede o no acceder, ya sea para leer o
escribir, a un objeto se compara la habilitacin del primero con la clasificacin
de sensibilidad del segundo.
1. La propiedad de seguridad simple: un proceso que se ejecuta en el nivel
de seguridad k solo puede leer objetos de su nivel o de niveles
inferiores.
Por ejemplo, un general puede leer los documentos de un teniente, pero
el teniente no puede leer los documentos de un general.
(NINGUN PROCESO PUEDE LEER INFORMACION DE UN NIVEL
SUPERIOR).
2. La propiedad * o propiedad estrella: un proceso que se ejecuta en el
nivel de seguridad k puede escribir solo objetos en su nivel o en niveles
superiores. Por ejemplo: un teniente puede anexar un mensaje al buzn
de u general diciendo todo lo que sabe, pero un general no puede
anexar un mensaje al buzn de un teniente diciendo lo que sabe, porque
el general podra haber visto documentos de secreto mximo que no
pueden revelarse a un teniente.(NINGUN PROCESO PUEDE ESCRIBIR
INFORMACION EN UN NIVEL INFERIOR).

MODELO DE BIDA
El autor de dicho modelo es Ken Biba, en 1977. Su objetivo es el control de
flujo de la informacin en lo tocante a su integridad. Es un Modelo dual al de
Bell LaPadula y hace nfasis en preservar la integridad, que es, generalmente,
la dimensin de la seguridad ms relevante es sistemas civiles.
Este modelo controla el flujo de informacin en un sistema para preservar la
integridad de los datos, estableciendo unas precisas reglas de control de
acceso. Para determinar si un sujeto puede acceder (para leer o escribir) a un
objeto se comparan la habilitacin del primero con la clasificacin del segundo.
Las propiedades de este modelo son:
1. Propiedad de seguridad simple: Ningn proceso puede leer informacin
de un nivel inferior.
2. Propiedad estrella: Ningn proceso puede escribir informacin en un
nivel superior.
SISTEMAS OPERATIVOS
RAMIREZ SOSA EUNICE
4

A mayor nivel de etiqueta, mayor confianza en trminos de integridad en el
sujeto/objeto.
MODELO DE CLARK-WILSON
El modelo de Clark-Wilson est orientado netamente a la integridad de la
informacin, buscando se mantengan los datos libres de modificaciones no
autorizadas, es decir que cada ente se encargue nicamente de sus funciones
sin interferir o realizar las de otro ente. Esto certifica de cierta manera, el
correcto entendimiento y funcionamiento de la informacin a nivel interno como
externo.

SEGURIDAD DE LIBRO NARANJA
El Libro Naranja fue desarrollado por el NCSC (National Computer Security
Center) de la NSA (National Security Agency) del Departamento de Defensa de
EEUU. Actualmente, la responsabilidad sobre la seguridad de SI la ostenta un
organismo civil, el NIST (National Institute of Standards and Technology).
Define cuatro extensas divisiones jerrquicas de seguridad para proteccin de
la informacin. En orden creciente de confiabilidad se tienen:
A- Proteccin mnima
B- Proteccin discrecional
C- Proteccin obligatoria
D- Proteccin controlada
Cada divisin consiste en una o ms clases numeradas, entre ms grande sea
el nmero se indica un mayor grado de seguridad: nivel D1, NIVEL C: contiene
dos clases C! y C2 (de acuerdo a la nomenclatura adoptada, C2 ofrece una
mayor seguridad que C1), NIVEL B: contiene 3 clases B1, B2 y B3 (B3 ofrece
mayor seguridad que B2 y B2 ofrece ms seguridad que B1) y NIVEL A: cuenta
solo con una clase A1. Cada clase se define con un grupo especfico de
criterios que un sistema debe cubrir, para ser certificado con evaluacin en
alguna clase.
Este criterio cae en 4 categoras generales:
Polticas de seguridad,
Responsabilidad,
confianza
documentacin.
SISTEMAS OPERATIVOS
RAMIREZ SOSA EUNICE
5

Los requisitos para un determinado nivel siempre lo son para el siguiente,
pudiendo este restringir ms an los criterios, ya que se trata de una jerarqua
de niveles:
1. D: seguridad mnima: En esta categora estn englobados todos los
sistemas que han sido valorados y no han superado los requisitos
mnimos para pertenecer a un nivel de seguridad superior. En esta
categora no existen requisitos de seguridad." En realidad ningn
sistema pertenece a esta categora, puesto que ningn vendedor
evaluara un sistema para obtener un nivel de seguridad "D".
Ordenadores bajo MS-DOS o las versiones personales de Windows
(familia 9x), adems de otros sistemas antiguos son un ejemplo de
sistemas que perteneceran a esta categora.
2. C1: proteccin mediante seguridad discrecional. Todos los usuarios
manejan los datos al mismo nivel. En este nivel se procura evitar que los
usuarios cometan errores y daen al sistema. Las caractersticas ms
importantes de este nivel son el control de autentificacin mediante
contraseas y la proteccin discrecional de los objetos. El cdigo del
sistema debe estar protegido frente a ataques procedentes de
programas de usuario (en UNIX, un proceso no puede salirse de su
espacio virtual de direcciones, y si lo intenta, morir. Un sistema de este
nivel no necesita distinguir entre usuarios individuales, Tan solo entre
tipos de accesos permitidos o rechazados. En UNIX C1 hay que ser
dueo de un objeto para ceder sus derechos de accesos y siempre se
protege a los objetos de nueva creacin
3. C2: proteccin mediante accesos. Controlados A partir de este nivel, el
sistema debe ser capaz de distinguir entre los usuarios individuales.
Generalmente el usuario debe ser dueo de un objeto para ceder los
derechos de acceso sobre l. En la mayora de los sistemas UNIX a
partir de este nivel, existen listas de control de acceso (ACLs). Debe
permitir que los recursos del sistema se protejan mediante accesos
controlados. En UNIX el acceso a los perifricos (dispositivos de E/S)
siguen un esquema de permisos idntico al de los ficheros de los
usuarios. Se aplican los requisitos de reutilizacin de objetos cuando
esos mismos se reasignan. Se requiere a partir de este nivel que el
sistema disponga de auditoria. Por ello cada usuario debe tener un
identificador nico que se utiliza para comprobar todas las acciones
solicitadas. Se deben auditar todos los sucesos relacionados con la
seguridad y proteger la informacin de la auditoria. El sistema debe ser
capaz de auditar a nivel de usuario.
4. B1: proteccin mediante seguridad etiquetada. A partir de este nivel, los
sistemas poseen un sistema de control de accesos obligatorio que
implica colocar una etiqueta a los objetos (principalmente sobre los
ficheros). Esto, junto con el nivel de habilitacin de los usuarios es
SISTEMAS OPERATIVOS
RAMIREZ SOSA EUNICE
6

utilizado para reforzar la poltica de seguridad del sistema. En estos
sistemas, el dueo no es el responsable de la proteccin del objeto, a
menos que disponga de la habilitacin necesaria. En cuanto a la
auditoria, el sistema debe ser capaz de registrar cualquier cambio o
anulacin en los niveles de seguridad, y tambin hacerlo selectivamente
por nivel de seguridad." Debe existir una documentacin que incluya el
modelo de seguridad soportado por el sistema. No es necesaria una
demostracin matemtica, pero si una exposicin de las reglas
implantadas por las caractersticas de seguridad del sistema.
5. B2: proteccin estructurada. A partir de este nivel, los cambios en los
requisitos no son visibles desde el punto de vista del usuario respecto de
los niveles anteriores. En B2, todos los objetos del sistema estn
etiquetados, incluidos los dispositivos. Deben existir vas fiables que
garanticen la comunicacin segura entre un usuario y el sistema. Los
sistemas deben ser modulares y utilizar componentes fsicos para aislar
las funciones relacionadas con la seguridad de las dems. Requieren
una declaracin formal del modelo de seguridad del sistema, y que haya
una gestin de la configuracin. Tambin deben buscarse los canales
ocultos.
6. B3: dominios de seguridad. Es necesario que exista un administrador de
seguridad, que sea alertado automticamente si se detecta una violacin
inminente de la seguridad. Deben existir procedimientos para garantizar
que la seguridad se mantiene aunque el ordenador se caiga y luego re
arranque. Es obligatoria la existencia de un monitor de referencia
sencillo, a prueba de agresiones e imposible de eludir. La TCB debe
excluir todo el cdigo fuente que no sea necesario para proteger el
sistema.
7. A1: diseo verificado. Esta es la clase de certificacin ms alta, aunque
el Libro Naranja no descarta la posibilidad de exigir requisitos
adicionales. Son sistemas funcionalmente equivalentes a B4. Tan solo
se aade la distribucin fiable que refuerza la seguridad. Los sistemas
A1 tienen la confiabilidad adicional que ofrece el anlisis formal y la
demostracin matemtica de que el diseo del sistema cumple el
modelo de seguridad y sus especificaciones de diseo.






SISTEMAS OPERATIVOS
RAMIREZ SOSA EUNICE
7

CANALES ENCUBIERTOS
Los canales encubiertos fueron definidos en la era digital como \aquellos no
intencionados para la transferencia de informacin" por B.W. Lampson y
posteriormente definidos como \cualquier canal de comunicacin que puede ser
explotado por un proceso para transferir informacin en violacin de la poltica
de seguridad del sistema", por el Departamento de Defensa de Estados
Unidos. Los canales encubiertos utilizan recursos compartidos como va de
comunicacin. Los recursos compartidos en un sistema informtico son el
espacio o el tiempo; esto nos lleva a las siguientes dos clases de canales
encubiertos:
1. Canales de almacenamiento. Por ejemplo considerar un proceso A que
escriba a un objeto y un proceso B que lo lea. Posibles canales de
almacenamiento:
Atributos del objeto, por ejemplo atributos de un fichero (longitud,
formato, fecha de la modificacin, ACL-Lista de Control de Acceso, etc.).
Existencia del objeto. Por ejemplo, comprobar la existencia de un cierto
fichero.
Recursos compartidos. Por ejemplo, utilizar la cola de impresin (llena o
vaca).
2. Canales de timing. Por ejemplo, considerar un proceso A que crea algn
efecto y un proceso B que mida el tiempo. Posibles canales de timing:
Variar la carga de la CPU por ejemplo a intervalos de 1 milisegundo
(opera bien si slo hay dos procesos).
Hacer que la ejecucin del programa dependa de los datos del
programa. Los canales de timing tienden a ser ruidosos y difciles de
detectar. Como posible contramedida denegar el acceso al reloj del
sistema, aunque es posible que el atacante tenga su propio reloj.
Los canales encubiertos son una forma de comunicacin oculta que puede
vulnerar la integridad de los sistemas. Desde sus inicios en sistemas de
seguridad multinivel a principios de los aos 70 han evolucionado
considerablemente, apareciendo soluciones para redes de computadores
debido a la especificacin de algunos protocolos. Por este motivo, se hace un
estudio sobre las tcnicas que se han utilizado para crear los canales, as como
sobre las distintos obstculos que han tratado de mermar su actividad.
Asimismo, se presenta una nueva clasificacin que trata de albergar la mayor
cantidad de canales encubiertos existentes en la actualidad. A partir de este
anlisis se implementan distintas versiones de un canal encubierto haciendo
uso de este protocolo.
El concepto de canal encubierto fue introducido por Butler W. Lampson [1] en
1973 para sistemas de seguridad multinivel con la finalidad de sealar las
posibilidades que tiene un programa para transmitir informacin a otro de
SISTEMAS OPERATIVOS
RAMIREZ SOSA EUNICE
8

manera clandestina. Tras Lampson otros autores siguieron utilizando el
concepto de canal encubierto, sin embargo, con el tiempo los trminos
propuestos por este fueron adquiriendo otros matices. As por ejemplo, en [9]
se comienza a notar que lo que Lampson defini como canal encubierto es lo
que ms tarde se conocer a como canal de temporizacin. Sin embargo,
Lipner nunca llega a llamarlos as.
La caracterizacin ms importante de un canal encubierto es su ancho de
banda medida en bps. Los canales encubiertos pueden hacer uso de casi
cualquier medio para la transferencia de la informacin, por ejemplo
esteganografa, marcas de agua digitales (o DWM) y fingerprinting.
En lo que respecta a canales encubiertos en redes de comunicaciones, la
definicin genrica anterior puede ser especializada a \una manipulacin de un
protocolo de comunicacin para transferir informacin de forma no prevista por
la especificacin del protocolo". Los mismos pueden ser o bien de
almacenamiento, utilizando el contenido de las tramas o paquetes del protocolo
en s, para codificar la informacin del canal, o bien temporales, utilizando el
tiempo de envi o el orden de envo de las tramas o paquetes para codificar la
informacin del canal.
El otro aspecto que permite clasificar a los canales encubiertos, ortogonal al
anterior, distingue entre un canal al cual nicamente el emisor y receptor tienen
acceso (utilizando un recurso compartido nicamente por ellos) y otro en el que
terceras partes tambin tienen acceso (utilizando un recurso compartido por
ellos y por al menos un tercero que no participa del canal). Los primeros se
llaman canales encubiertos \sin ruido" mientras que los segundos se llaman
canales encubiertos\ruidosos"
Por ltimo, cabe destacar que una de las propiedades clave de un canal
encubierto es su ancho de banda y es uno de los parmetros ms crticos
utilizados a la hora de comparar canales encubiertos. Otros criterios de
evaluacin son:
Probabilidad de deteccin
Grado de anonimidad
Facilidad de implementacin
Alcance (en el caso particular de canales encubiertos de red).