Seguridad El ltimo punto en el rea de desarrollo de los sistemas distribuidos es la seguridad pero por ese motivo no es menos importante,

pero se puede decir que es uno de los ms difciles, debido a que una pequea falla en el diseo con respecto a la seguridad, hara intil a todas las medidas tomadas. La seguridad se aplica siempre y cuando se sepa que tipos de mecanismos van a ser usados para que tipos de amenazas. La seguridad se divide en dos partes, primero en la comunicacin entre usuarios y procesos que principalmente estn en mquinas diferentes, y se rige en funcin a los canales seguros que se les brinda. Segundo, la seguridad se basa en la autorizacin, lo cual se refiere a los permisos que poseen los procesos para acceder a ciertos recursos. Cuando hablamos de canales seguros y autorizacin se debe requerir mecanismos de distribucin de claves criptogrficas. Amenazas, polticas y mecanismos de seguridad. En un sistema de cmputo cuando hablamos de seguridad est fuertemente relacionado con la confiabilidad, un sistema de computadoras confiable es aquel el cual estamos seguros nos brindar los servicios que posee. Entonces si confiamos en un sistema de cmputo, la confidencialidad y la integridad se deben tomar en cuenta. Cuando nos referimos a confidencialidad significa que la informacin estar disponible para las personas autorizadas; y la integridad se basa en que las modificaciones inapropiadas deben ser detectadas y restauradas, adems los activos de un sistema de computadoras siempre se deben ubicar en un equipo fsico. Ahora otra forma de seguridad de nuestro sistema de computadoras es protegerlo de distintas amenazas a las cuales puede ser vulnerable. Clasificacin de las amenazas Principalmente se agrupan en: Amenazas fsicas. Amenazas lgicas.

Las amenazas fsicas como lgicas se materializan bsicamente por: Las personas. Programas en especfico. Catstrofes naturales. Intencionalidad de las amenazas. Accidentes: averas de hardware, fallos del software. Errores: de utilizacin, explotacin y de ejecucin de programas.

Naturaleza de las amenazas De dividen en 4 que son: Intercepcin: se refiere al acceso de la informacin por parte de personas no autorizadas.

Modificacin: acceso no autorizado que cambia el entorno a su beneficio.

 Interrupcin: puede provocar que un objeto del sistema se pierda, quede no utilizable o no disponible.

Fabricacin: se puede considerar como un caso concreto de modificacin, ya que se consigue un objeto similar al atacado de forma que no resulte sencillo distinguir entre el objeto original y el fabricado.

Amenazas fsicas

Dentro de las amenazas fsicas podemos englobar cualquier error o dao en el hardware, por ejemplo discos duro, procesadores, errores en el funcionamiento de la memoria, todo esto hace que la informacin no sea fiable. Otra clase de amenazas fsicas son las catstrofes naturales. Amenazas lgicas Tiene que ver principalmente con el mal funcionamiento del sistema del lado del software. Existen varios tipos de amenazas logias, aqu algunas: Software incorrecto Exploits Herramientas de seguridad Puertas traseras Virus Gusanos Caballos de Troya Spyware Adware Spooting Spam Programa conejo Tcnica salami

Ahora una poltica de seguridad describe que acciones son permitidas y prohibidas a las entidades del sistema. Una vez elegida la poltica de seguridad, ya se puede decidir qu mecanismos de seguridad se pueden aplicar, de los cuales tenemos: Cifrado Autentificacin Autorizacin

Auditoria

Arquitectura de seguridad de Globus Globus es un sistema que soporta clculos distribuidos a gran escala, en la cual se utiliza al mismo tiempo muchos anfitriones, archivos y otros recursos para realizar el clculo. Para simplificar las cosas, la poltica de Globus plantea 8 enunciados: El ambiente se compone de mltiples dominios administrativos. Las operaciones locales estn sujetos a una poltica de seguridad de dominio local. Las operaciones globales requieren que el iniciador sea reconocido en cada dominio donde la operacin se realiza. Las operaciones entre entidades diferentes necesitan autentificacin. La autentificacin global reemplaza a la local. El control de acceso a los recursos est sujeto a la seguridad local solamente. Los usuarios pueden desligar derechos a procesos. Un grupo de procesos en el mismo dominio pueden compartir credenciales.

Temas de diseo Existen varios temas de diseo importantes que deben ser tomados en cuenta cuando se implementan servicios de seguridad. Enfoque de control Cuando buscamos alcanzar la seguridad en las aplicaciones existen 3 mtodos: 1) Mtodo 1: proteger los datos principalmente de amenazas y errores. 2) Mtodo 2: proteger los datos de las operaciones no autorizadas. 3) Mtodo 3: proteger los datos de los usuarios no autorizados

Organizacin de capas de mecanismo de seguridad. Al momento de disear sistemas seguros debemos saber en qu nivel deben ser colocados los mecanismos de seguridad.

Cuando hablamos de nivel se relaciona con un sistema lgico de varias capas, similar a las de un

sistema de red de computadoras.

Simplicidad El desarrollo de sistemas de computadoras seguro es considerado una tarea difcil, por consiguiente si el diseador utiliza pocos mecanismos simples, fciles de entender y confiables de trabajar mucho mejor. Pero a veces los mecanismos simples no son siempre suficientes para implantar polticas de seguridad Criptografa En un sistema en el que participan varios usuarios, existe la posibilidad de que algn usuario no autorizado intente tener acceso a informacin confidencial. Debido a esto, es necesario agregar otros mecanismos de proteccin para que los intrusos (usuarios no autorizados), si logran irrumpir en el sistema; no entiendan o hagan uso de la informacin que puedan obtener de manera no autorizada.

La criptografa es un proceso para transformar datos, generalmente texto claro a un texto clave o cifrado, y que slo puede ser convertido nuevamente en un texto claro y entendible usando una llave en particular y aplicndole un algoritmo apropiado. Por lo general, las tcnicas de criptografa se aplican antes de que la informacin sea almacenada o transmitida por algn canal fsico, en el caso de una red. Existen varios tipos o categoras en que se clasifican las tcnicas de encriptacin de informacin.

Sistemas de encriptacin

Sistemas convencionales Sistemas modernos Sistemas de llave pblica Sistemas de llave privada

Sistemas convencionales de encriptacin. Este tipo de encriptacin se basa en la sustitucin de cifras, en la cual, cada carcter en un texto claro o base es sustituido por otro carcter. Existen varias tcnicas:

Cifra Caesar. En ste mtodo, cada letra del texto original se transforma en la tercer letra siguiente Por ejemplo, "CASA" es transformado en "FDVD", de acuerdo al equivalente en la tabla de cdigos ASCII. Los problemas principales con esta tcnica son que 1) ya que la transformacin es lineal, determinar la llave es muy simple y 2) el nmero de llaves es muy pequeo ya que se restringe al tamao del cdigo usado (ASCII en el ejemplo).

Sustitucin simple. En este mtodo, cualquier permutacin de letras puede ser identificado al lenguaje Espaol o Ingls y elimina la relacin posicional de la Cifra Caesar, debido a que cada permutacin de letras es una llave, hay (>1026) llaves en una cifra como sta, lo que hace muy costosa una bsqueda exhaustiva. Sin embargo, la cifra por sustitucin simple preserva la frecuencia de sustitucin de las letras de un alfabeto porque se ejecuta la misma sustitucin en todas las ocurrencias de una letra, y puede usarse un anlisis estadstico para desencriptar la cifra.

Cifra poli alfabtica.

La cifra poli alfabtica usa una secuencia peridica de n letras de sustitucin, es decir; el mtodo acta con n sustituciones alfabticas peridicamente. Este mtodo puede tener un mayor impacto si se escoge apropiadamente la sustitucin. Una forma de aplicar este mtodo es usar la Cifra Caesar con diferentes llaves. Por ejemplo, se puede tener la secuencia de enteros 11, 19, 4, 22, 9, 25 y se obtendra el texto cifrado agregando repetidamente cada entero al texto original. Este mtodo es tambin vulnerable, porque si se conoce el periodo (secuencia de enteros), las diferentes cifras de cada periodo se pueden determinar por una bsqueda exhaustiva.

Sistemas modernos de encriptacin Usan informacin representada en forma binaria. Generalmente, en estos mtodos se conocen las tcnicas de encriptacin y desencriptacin, pero la llave requerida para desencriptar el texto cifra se mantiene en secreto. Los esquemas de criptografa moderna se basan en el principio de la bsqueda exhaustiva, aunque se conozca el mecanismo de desencriptacin, el procedimiento de desencriptacin es tan intensivo computacionalmente, que tomara un tiempo prohibitivo para encontrar la llave.

Mtodo de llave privada La criptografa por llave privada se ha convertido en un estndar. Fue desarrollado por IBM. Este mtodo es conocido como el Estndar de Encriptacin de Datos (DES, por sus siglas en ingls), y utiliza bsicamente dos operaciones: Se usa una operacin de permutacin para permutar los bits de una palabra y su objetivo es difundir o esparcir la correlacin y las dependencias entre los bits de una palabra. Una operacin de sustitucin reemplaza una entrada de m bits por una salida n de bits, sin que exista una relacin directa entre ambas. Generalmente, una operacin de sustitucin consta de tres pasos: primero, la entrada de m bits se convierte a una forma decimal; segundo, se permuta la forma decimal (para obtener otro nmero decimal); y finalmente, la salida decimal se convierte en una salida de n bits.

Mtodo de llave pblica El mtodo de encriptacin por llave privada (as como los mtodos convencionales) requiere la distribucin de llaves secretas a travs de una red de comunicaciones insegura, antes de que se pueda tener una comunicacin segura. Este problema es conocido como problema de distribucin de llaves.

El mtodo de criptografa por llave pblica resuelve este problema anunciando al dominio pblico el mtodo de encriptacin E (y su llave asociada); sin embargo, se mantiene secreto el mtodo de desencriptacin D (y su llave asociada).

2. Canales Seguros. Para poder implementar un sistema distribuido seguro es necesario, tener en cuenta dos aspectos como la comunicacin entre clientes - servidores y la autentificacin. Para poder proteger la comunicacin entre clientes y servidores es necesario establecer un canal seguro por donde se deben comunicar. Un canal seguro protege la comunicacin de la intercepcin, modificacin y fabricacin de mensajes, pero no necesariamente de la interceptacin. La proteccin de mensajes contra la interseccin se realiza garantizado la confidencialidad es decir que los mensajes no pueden ser vistos por intrusos, la proteccin contra la modificacin y fabricacin se realiza mediante protocolos de autentificacin mutua e integridad del mensaje. 2.1 Autentificacin. Para lograr la autentificacin del mensaje es necesario tambin lograr la integridad ya que siempre van de la mano. Para garantizar la posterior integridad de los mensajes de datos intercambiados una vez autentificados, es practica comn utilizar criptografa de clave secreta por medio de claves de sesin, Una clave se sesin es una clave secreta compartida que se utiliza para cifrar mensajes en cuanto a integridad y posiblemente en cuanto a confidencialidad, tu clave se usa en cuanto tu canal exista. Cuando este se cierra, su clave de sesin asociada se desecha. 2.1.1 Autentificacin basada en una clave secreta compartida

Esta autentificacin se basa en verificar de manera compartida mediante mensajes la validez de una clave secreta. En este ejemplo observamos la autentificacin entre dos personas, esta autentificacin se realiza mediante una seria de mensajes que tienen como objetivo ir verificando la validez de los datos y la autenticidad de quien las esta enviando. En el ejemplo se muestra la verificacin entre dos personas, en el primer mensaje se enva la identidad del emisor y a la vez es una peticin para establecer un canal de comunicacin con la otra persona, el segundo mensaje es un reto para el emisor para con el fin verificar la identidad del emisor y aceptar el canal de comunicacin, el tercer mensaje es una respuesta al reto establecido en el mensaje dos y a la vez es la confirmacin de la identidad del emisor, este mensaje a su vez va acompaado de un cuarto mensaje en donde se enva un reto al receptor para verificar su identidad, este receptor tiene que superar el reto enviando un quinto mensaje para confirmar su identidad y de esta ambos receptor como emisor tengan la seguridad de que su identidad es verdadera. Unos de los temas de seguridad mas difciles al disear protocolos es que realmente funciones, es decir que puede haber complicaciones, en el siguiente ejemplo se reduce el numero de mensajes que se debe enviar de cinco a tres.

En este ejemplo se optimiza el funcionamiento, es decir que en el primer mensaje el emisor enva su identidad y el reto para poder establece un canal de conexin, en el mensaje dos el receptor enva una respuesta al reto y enva su propio reto para establecer una conexin , el mensaje tres es la respuesta al reto y la confirmacin de las identidades del receptor y emisor. Ataque de reflexin El objetivo de un ataque de reflexin es establecer una comunicacin en donde en receptor crea que esta estableciendo un canal con total seguridad con el emisor, es decir engandolo utilizando la misma estructura de la autentificacin de la clave compartida

En este ejemplo en la pirmera seccin el supuesto emisor enva una peticin de un canal de conexin y un reto, el cual es respondido por el receptor que a su vez le enva un reto para verificar su identidad, pero como el falso emisor no conoce la respuesta al reto enva un segundo mensaje. En la segunda seccin el supuesto emisor enva otra peticin para estableces un segundo canal con el mismo reto que le envi en receptor sin la repuesta, para que el receptor, este sin darse cuenta enva una respuesta de su mismo reto al emisor de esta manera en falso emisor ya sabe cual es la respuesta al reto. En la tercera seccin el falso emisor de Elvia la respuesta que ya descifro y establece la conexin del canal y supuestamente se ha verificado la identidad de los dos. Uno de los errores cometidos durante la adaptacin del protocolo original fue que en ella nueva versin del protocolo las dos partes estuvieron utilizando en mismo reto en dos ejecuciones diferentes del protocolo. Un mejor diseo es utilizar siempre retos diferentes tanto para quien inicia como para quien responde. 2.1.2 Autentificacion mediante un centro distribuido clave. Si un sistema distribuido contiene N servidores y cada servidor requiere compartir una clave secreta con los dems N-1 servidores el sistema en su conjunto necesita manejar N(N-1)/2 claves y cada servidor debe manejar N-1 claves, con N grande, esto conduce a problemas, una alternativa es utilizar un mtodo centraizado por medio de un centro de distribucin de clave, este cmprate un clave secreta con cada uno de ellos servidores, pero no se requiere que ningn par de ellos tenga tambin una clave secreta compartida, es decir que se maneja N claves en vez de N(N-1)/2 claves, el cual es una mejora.

En este ejemplo el receptor enva un mensaje en el cual solicita establecer comunicacin con el receptor, el centro de distribucin de clave KDC funciona como intermediario y enva una clave cifrada compartida al emisor, el cual pueda utilizar y a su vez enva un mensaje al receptor informndole que el emisor quiere comunicarse con el y tambin la clave cifrada que le envi al emisor. La desventaja de este mtodo es que el emisor puede establecer un canal antes de que el KDC envi e integre al receptor con la clave compartida, esto se puede mejorar si el KDC regresa al emisor permitiendo conectarse con el receptor. A esto se le conoce como boleto, es decir que el emisor tiene la tarea de pasar al receptor este boleto, quien es utiliza el boleto y el nico que sabe como descifrar la informacin que lo contiene.

2.1.3 Autentificacin con criptografa de clave publica, Este protocolo funciona cuando el receptor enva un reto al emisor con su calve publica, el receptor tiene la tarea de descifrar el mensaje y recin el emisor sabr que esta hablando con el receptor

2.2 Integridad y confidencialidad del mensaje. Para poder establecer un canal seguro aparte de la autentificacin es necesario brindar las garantas en integridad y confidencialidad. La integridad del mensaje significa que los mensajes estn protegidos contra modificacin subrepticia, la confidencialidad asegura que los mensajes no pueden ser interceptados o ledos por per personas ajenas, una manera de hacerlo es cifrar el mensaje antes de enviarlo.

2.2.1 Firmas digitales. una firma digital da una mayor seguridad de evitar modificaciones que pasen inadvertidas de un mensaje, es decir que a traves de una firma digital se pude verificar como genuina y evitar fraudes. Tipos de firmas digitales. a) Criptositema.

Cuando el emisor quiere enviar un mensaje va a cifrar ese mensaje con la clave priva de del receptor, el receptor recibe el mensaje cifrado y lo descifra con la con la clave publica del emisor de esa manera se puede comparar si es que el emisor es verdaderamente quien dice ser, y el emisor queda protegido de alguna modificacin inadecuadas que se pueda realizar debido a que tendr que verificar que si aquellas modificaciones fueron firmadas por el emisor. Pero existen vario factores que ponen en riesgo, por ejemplo el emisor puede decir que su clave privada fue robada justo cuando enva el mensaje, tambin si es que se le ocurre cambiar la cave privada, tambin que verificar el mensaje con la clave privada del emisores en costoso para el sistema en trminos funciones de los requerimientos.

En este caso para firmar digitalmente el emisor calcula primero un resumen cifrado del mensaje, cuando el receptor recibe el mensaje y su resumen cifrado simplemente tiene que descifrar el resumen con la clave publica del emisor si el resumen con la clave publica del emisor y calcularlo por separado si estos dos concuerdan el receptor pude estar seguro de que es el autentico emisor. 2.2.2 Claves de sesin. Una vez que se ha completado la fase de autentificacin, se suele utilizar por confidencialidad, una clave nica de sesin compartida y se desecha cuando el canal ya no se utiliza. Cuando se utiliza una clave es mas fcil revelarla, si las criptografas se deterioran un intruso es capaz de interceptar una gran cantidad de datos cifrados con la misma clave, por eso es recomendable utilizar claves de autentificacin lo menos que se pueda.

2.3 Comunicacin Segura de un grupo.

2.3.1 comunicacin confidencial de un grupo. Para garantizar la confidencialidad de un grupo es que todos sus miembros compartan una clave secreta, la cual se utiliza para cifrar y desifrar todos los mensajes transmitidos entre cada miembro del grupo, confiando en que la mantendran en secreto, esto hace que sea mas vulnerable a ataques en comparacion con los canales seguros entre dos. Una solucion es utilizar una clave compartida diferente para cada uno de los integrantes, de esa manera en cuanto alguno de sus integrantes empiese afiltrar informacion los demas mienbros dejen de enviale mensejes a el.

2.3.2 Servidores replicados seguros Se tiene que proteger al cliente contra los ataques de seguridad y una manera es recopilar la respuesta de todos los servidores y autenticar cada una , si existe cierta mayoria entre las respuestas de los servidores no corrompidos el cliente puede estar seguro de que la respuesta es correcta

Kerberos: Kerberos es un sistema de seguridad que ayuda a los clientes a establecer un canal seguro con cualquier servidor que forme parte de un sistema distribuido, esta basada en claves secretas compartidas existen dos componentes distintos, el AS( servidor de autentificacin ) es responsable de manejar la peticin de inicio de sesin de un usuario, este autentifica a un usuario y proporciona un clave que puede ser utilizada para establecer canales seguros con los servidores.

El TGS(servicio de otorgamientos de tickes) se entrega mensajes especiales conocidos como boletos

1.3 El control de acceso Se ha usado hasta ahora el modelo cliente servidor cabe decir que una vez que estos han establecido un canal seguro el cliente tiene la potestad de emitir peticiones que debes ser ejecutarlas por el servidor, estas peticiones implica realizar operaciones en recursos controlados por el servidor. Hablando de una situacin general nos referimos a un servidor de objetos el cual controla cuchos objetos. Una peticin de un cliente implica invocar un mtodo de un objeto especifico esa peticin puede ser religado solo si el cliente tiene derechos de acceso suficientes. Algo muy importante, la verificacin de los derechos de acceso se conoce como control de acceso pero autorizacin se refiere a la concesin de derecho de acceso.

Estos trminos esta relacionados fuertemente, existen muchas formas de control de acceso En primer lugar abordaremos algunas de los temas generales prestando atencin especial a las diferentes modelos de manejo de control de acceso. Una manera importante de controlar el acceso a recursos es construir un corta fuegos que protege las aplicaciones incluso toda una red, los cortafuegos se estudian por separado con el advenimiento del cdigo de movilidad. El control de acceso ya no poda realizarse nicamente con los mtodos tradicionales envs de eso tuvieron que idearse tcnicas nuevas. 1.3.1 temas generales de control de acceso En general se adopta el modelo simple que se muestra en la figura siguiente, este modelo consta de sujetos que emiten una peticin de acceso a un objeto. Se puede pensar en los objetos como encapsular su propio estado he implementar las operacin en dicho estado. Las operaciones de un objeto que los sujetos pueden solicitar se realicen estn disponibles mediante interfaces. Los sujetos pueden ser considerados mejor como procesos que actan a nombre de los usuarios. Aunque tambin pueden ser objetos que necesitan los servicios de otros objetos para realizar su propio trabajo.

Controlar el acceso a un objeto es todo lo que se refiere a protegerlo contra invocacin realizadas por sujetos a los que no les Est permitido tener algn mtodo especifico (o incluso ninguno ) de los realizados. Tambin la proteccin puede incluir temas de administracin de objetos tales como crear renombrar o eliminar objetos. la proteccin a menudo se aplica mediante un programa llamado monitor de referencia . un monitor de referencia registra que sujeto puede hacer que cosa y decide si a un sujeto se le permite realizar una operacin especifica. A este monitor se le convoca por ejemplo mediante el sistema operativo confiable subyacente cada vez que un objeto es invocado por la tanto es en extremo importante que el propio monitor de referencia sea a prueba de intrusiones un atacante no debe ser capaz de inmiscuirse con el . Servidor de objetos Te permite almacenar objetos que pueden ser activados a distancia. Los clientes pueden ser capaces de activar los objetos que se encuentran en el servidor.

Es un computador que CONTIENE y pone a disposicin de los usuarios autorizados (en red), los llamados OBJETOS INFORMATICOS. Los objetos son recursos diversos. Los ms conocidos son los Objetos Multimedia (fotos, video clips, audios, etc.). Hay otros tipos de objetos.

Matriz de control de acceso Un todo comn para modelar los derechos de acceso de sujetos con respecto a objetos es construir una matriz de control de acceso. En una matriz de control de acceso cada sujeto esta representado por una fila y cada objeto por una columna si la matriz se denota mediante M, entonces una entrada M(s,o),indica con precisin que operaciones puede solicitar el sujeto S para que se realicen en el objeto O el monitor deber verificar si m aparece en M(s,o) si no aparece, entonces la invocacin falla. Si pensamos dar soporte a miles de usuarios y que millones de objetos requieren proteccin, implantar una matriz e control de acceso como matriz verdadera no es la forma correcta. Muchas entradas de la matriz estn vacas por lo general es decir puede ser que un solo proceso tenga acceso a pocos objetos. Por ello se siguen otras formas ms eficientes para implementar un matriz de control de acceso Este mtodo consiste en hacer que cada objeto mantenga una lista de derechos de acceso de sujetos que sean acceder a el. esto significa que la matriz est distribuida en columnas a travs de todos los objetos y que las entradas vacas se eliminan. Este tipo de implementacin conduce a lo que se llama ACL(Access control list) donde se supone que cada objeto tiene su propia ACL asociada. Otra alternativa seria de distribuir la matriz en filas dando cada sujeto una listea de las capacidades que tiene cada objeto sea una capacidad corresponde a una entrada en la matriz de control de acceso. No tener una capacidad para un objeto especfico significa que el sujeto no tiene derechos de acceso para dicho objeto. Una capacidad puede compararse a un boleto, es decir su portador recibe ciertos derechos asociados con el boleto tambin queda claro que un boleto deber estar protegido contr modificaciones por parte de su portador. La diferencia entre cmo se utilizan las ACL y las capacidades para proteger el acceso a un objeto se muestra en la sigue figura.

Cuando un cliente solicita una peticin a un servidor el monitor de referencia del servidor verificara si conoce al cliente y si este tiene permiso de realizar las operaciones solicitadas. Qu es un monitor de referencia? En ingls Security Reference Monitor (SRM), nombre interno : es la autoridad principal para hacer cumplir las reglas del subsistema de seguridad integral. Determina cundo se puede acceder a un objeto o recurso, a travs del uso de listas de control de acceso (en ingls Access Control List, ACL), que estn formadas por entradas de control de acceso (en ingls Access Control Entries, ACE).

Fig: comparacin entre ACL capacidades. Dominios de proteccin

y capacidades para proteger objetos (a)con una ACL (b)con

Las ACL y las capacidades ayudan a implementar con eficiencia una matriz de control de acceso al ignorar todas las entradas vacas. no obstante, una ACL o una lista de capacidades pueden ser lo innecesariamente grande si no se toman las medidas adicionales. Una forma de reducir las ACL es utilizar dominios de proteccin. Un dominio de proteccin es un conjunto de pares(objetos, derechos de acceso).para un objeto dado cada par especifica con exactitud qu operacin es pueden realizarse. Las peticiones para realizar una operacin siempre se emiten dentro de un dominio. Por consiguiente simple que un sujeto solicita realizar una operacin en un objeto, el monitor de referencia busca primero el dominio de proteccin asociado con dicha peticin, luego de ello encontrado el dominio el monitor de referencia puede verificar si la peticin tinee permiso de ser realizada. Un mtodo de dominio de proteccin es construir grupos de usuarios. Veamos por ejemplo una web de una compaa tal pgina deber estar disponible para cada empleado para nadie ms, en lugar de aplicar una entrada por cada empleado a la ACL de las pagina web, se puede decidir tener un grupo empleado aparte que contenga todos los empleados actuales, siempre que un usuario acceda a la pgina web entonces el monitor de referencia solo tendr que comprobar si el usuario es un empleado .que usuarios pertenecen al

grupo empleados se mantiene en una lista aparte el cual est protegido contra acceso no autorizado. Con la introduccin de grupos jerrquicos las cosas pueden ser ms flexibles por ejemplo si una organizacin tiene tres sucursales diferentes en Amsterdan, New York y san francisco , es posible que desee subdividir su grupo empleados en subgrupos, uno por ciudad como en la fig, siguiente.

En este caso el acceso a la pgina web de la intranet de la organizacin deber estar permitido a todos ls empleados. Sin embargo , cambiar por ejempl las pginas web asociadas con la sucursal de Amsterdam deber estarle permitido solo a un subconjunto de empleados basados en Amsterdam si el usuario Dick de Amsterdam desea leer una pagina web de la intranet , el monitor de referencia tiene que buscar primero en los subconjuntos EMPLEADOS_AMS, EMPLEADO_NYC y EMPLEADO_SF que junto conforman el grupo empleados luego debe comprobar si uno de esos subconjuntos contiene a Dick , la ventaja de tener grupos jerrquicos es que la administracin de la membresa para un grupo es relativamente fcil y que se puede construir grupos muy grandes con eficiencia. pero la desventaja es que la bsqueda de un miembro puede resultar costosa si la base de datos es distribuida. Por ello envs de dejar todo el trabajo al monitor de referencia se debera permitir q cada sujeto porte un Certificado que contenga una lista de los grupos a los que pertenece , de esa manera siempre que Dick desee leer una pgina de la intranet de la compaa. Este entregara su certificado al monitor de referencia para informarle que el es miembro del subgrupo EMPLEADO_AMS para garantizar que el certificado es genuino y que no ha sido manipulado deber estar protegido mediante, por ejemplo, una firma digital.

Qu es una firma digital?

Una firma digital es un mecanismo criptogrfico que permite al receptor de un mensaje firmado digitalmente determinar la entidad originadora de dicho mensaje (autenticacin de origen y no repudio), y confirmar que el mensaje no ha sido alterado desde que fue firmado por el originador (integridad) Qu es criptografa? Literalmente es escritura oculta y tradicionalmente se ha definido como la parte de la criptologa que se ocupa de las tcnicas, bien sea aplicadas al arte o la ciencia, que alteran las representaciones lingsticas de mensajes, mediante tcnicas de cifrado o codificado, para hacerlos ininteligibles a intrusos (lectores no autorizados) que intercepten esos mensajes 1.3.2 cortafuegos (firewall) Hasta ahora se ha demostrado cmo se puede estableces proteccin mediante tcnicas criptogrficas, combinadas con alguna implementacin de una matriz de control de acceso. Estos mtodos funcionan muy bien en tanto que todas las partes en comunicacin acten de acuerdo con el mismo conjunto de reglas. Tales reglas pueden ser aplicadas cuando se desarrolle un sistema distribuido autnomo, aislado del resto del mundo pero las cosas se ponen ms difciles cuando se permite el acceso a extraos a los recursos controlados por un sistema distribuido asi como envo de correo, descargas de archivos, etc. Un cortafuego (firewall en ingls) es una parte de un sistema o una red que est diseada para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o conjunto de dispositivos configurados para permitir, limitar, cifrar, descifrar, el trfico entre los diferentes mbitos sobre la base de un conjunto de normas y otros criterios. Los cortafuegos pueden ser implementados en hardware o software, o una combinacin de ambos. Los cortafuegos se utilizan con frecuencia para evitar que los usuarios de Internet no autorizados tengan acceso a redes privadas conectadas a Internet, especialmente intranets. Todos los mensajes que entren o salgan de la intranet pasan a travs de los cortafuegos, que examina cada mensaje y bloqu ea aquellos que no cumplen los criterios de seguridad especificados.(Wikipedia, 2013).

Para proteger los recursos ahora en estas circunstancias se requiere un mtodo diferente . En la prctica sucede que el acceso externo a cualquier parte de u sistema distribuido e controlado por una clase especial de monitor de referencia conocido como firewall. Un cortafuego desconecta cualquier parte de un sistema distribuido del mundo externo k como se muestra en la sig. Figura

Aqu todos los paquetes salientes per sobre todo los entrantes se canalizan atraves de una computadora especial y se inspeccionan antes de permitirle el paso, el trfico no autorizado se desecha y no se le permite continuar. Existen 2 tipos de cortafuegos y estos se combinan en un tipo de gran importancia es una compuerta de filtracin de paquetes. Este tipo de cortafuegos opera como ruteador y toma decisiones en cuanto a dejar pasar o no un paquete de red con base en la direccin de origen o paquetes mostrados en LAN externa en la figura anterior, protege contra los paquetes entrantes en tanto que la LAN interna filtra los salientes. Por ejemplo para proteger un servidor web interno contra peticiones de hosts que no estn en la red interna una compuerta de filtracin de paquetes podra decidir rechazar todos los paquetes entrantes dirigidos al servidor web. El otro tipo de cortafuego es una compuerta a nivel de aplicacin. Por contraste con una implementacin que permite el acceso a un servidor de biblioteca externo pero que proporciona solo extractos de documentos si un usuario externo desea mas se inicia un protocolo de pago electrnico los usuarios localizados en el interior del cortafuego tienen acceso directo al servicio de biblioteca. Una clase especial de compuerta a nivel de aplicacin es la conocida como al

compuerta proxy. Este tipo de cortafuego funciona como etapa frontal ante una clase especifica de aplicacin y garantiza que pasaran solo aquellos mensajes que satisfagan ciertos criterios, 1.3.3 cdigo mvil seguro Un desarrollo importante en sistemas distribuidos modernos es la capacidad de migrar el cdigo entre servidores en lugar de solo migrar datos pasivos , sin embargo el cdigo mvil introduce varias amenazas de seguridad sers . Entre otras cas cuando se enva un agente a travs de internet , su propietario desea protegerse contra servidores malvolos que traten de modificar o robarse la informacin transportada por el agente. Otra cuestin importante es que los servidores necesitan estar protegidos contra agentes maliciosos la mayora de los usuarios de sistemas distribuidos no son expertos en tecnologa de sistemas y no pueden saber si el programa que esta en descargando de otro servidor no corromper su computadora. 1.3.4 Negacin del servicio El control de acceso se refiere en general a garantizar en forma prudente que los recursos seran accedido solo pro procesos autorizados. Un tipo de ataque particular mente molesto relacionado con el control de acceso es evitar de modo malicioso que procesos autorizados accedan a recursos. Defensas contra ataque de este tipo DoS(denial of service) se vuelven cada vez mas importantes ya que los sistemas distribuidos se encuentran abiertos en el internet Cuando los ataques DoS provienen de una o varias fuentes a menudo pueden ser manejados con efectividad. Se hace mas difcil cuando se trata de una negacin de servicio distribuido.en ataques DoS uan enorme coleccin de procesos intenta anular conjuntamente un servicio distribuido en red . en estos casos los atacantes a menudo tienen xito al secuestrar un gran numero de maquinas que sin haber participado en el ataque distinguen dos tipos de ataque aquellos encaminados al agotamiento del ancho de banda y los encaminados al algoritmos de recursos. El agotamiento de ancho de banda se logra simplemente con enviar muchos mensajes a una sola maquina el efecto es en los mensajes normales difcilmente llegaran al receptor. Los atacantes de agotamiento de recursos se concentran en permitir que el receptor agote los recursos en mensajes intiles. Un ataque muy conocido de agotamiento de recurso es la inundacin del TCP SYN en este caso el atacante intenta iniciar una enorme cantidad de conexiones es decir enva paquetes SYN como parte de un protocolo de dialogo tridimensional aunque nunca responder a reconocimientos del receptor. Estos ataque se aprovechas de vctimas inocentes al no haber un mtodo de proteccin con tras los ataques Dos lo que hacen es instalar en secreto software en la maquina ajena.

es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legtimos. Normalmente provoca la prdida de la conectividad de la red por el consumo del ancho de banda de la red de la vctima o sobrecarga de los recursos computacionales del sistema de la vctima. Un ejemplo notable de este tipo de ataque se produjo el 27 de marzo de 2013, cuando un ataque de una empresa a otra inund la red de spam provocando una ralentizacin generalizada de Internet e incluso lleg a afectar a puntos clave como el nodo central de Londres.

Ataque usando el software stacheldraht