CISSP - 02 - Security Architecture and Design v3

CISSP Security Training Security Architecture and Models
Security Architecture and Design
Agenda
Arquitectura de Computadoras
Mecanismos de Proteccin
Modos de Seguridad
Modelos de Seguridad
Guas de Evaluacin
Certificacin & Acreditacin
Ataques
Referencias y Lecturas Complementarias
Preguntas
CISSP Security Training - Security Architecture and Design 2

Copyright 2004-2008 SICInformtica S.R.L.
Arquitectura de
Computadoras
1
Arquitectura de Computadoras
La Arquitectura de Computadoras es una disciplina de

la Ingeniera, relacionada con el diseo y la
construccin de sistemas de cmputo a nivel lgico.
Para que una Arquitectura termine por ser segura,

debe ser concebida de este modo.

Arquitectura de Computadoras (Cont.)
La Arquitectura de Computadoras comprende todas y

cada una de las partes necesarias para que un
sistema de computo funcione, esto incluye:
Sistema Operativo
Chips de Memoria
Circuitos
Discos Duros
Componentes de Seguridad
Conexiones Bus
Componentes de Networking
Etc.

Hardware / Software
Componentes principales de la plataforma de
hardware en la Arquitectura de Computadoras:
CPU (Unidad Central de Procesamiento)
Memoria
Bus Connections
Dispositivos de Entrada/ Salida (I/O)
Dispositivos de Almacenamiento

2
CPU (Unidad Central de Procesamiento)

La Unidad Central de Procesamiento, es un
microprocesador que contiene:
Unidad de Control (CU)
Unidad Aritmtico Lgica (ALU)
Registros (Register)
Caractersticas principales de los

Microprocesadores
Reducido SET de instrucciones
MIPS (Millones de Instrucciones por Segundo)


Exterior
UC (Unidad de Control): La Unidad de

Control es la encargada de gestionar y
controlar el correcto funcionamiento de la
Unidad de Proceso, indicando cuando una
instruccin debe ser enviada al procesador.
La UC no procesa datos, tan solo acta como
UP Seales UC agente de trnsito.
UP (Unidad de Proceso): Formada por

ALU componentes tales como: la ALU, Registros, y
buses.
CPU ALU (Unidad Aritmtico-Lgica): Encargada

de llevar a cabo funciones matemticas y
operaciones lgicas.
Estructura Interna del
Registros: Almacenan datos durante cierto
Microprocesador
tiempo, dentro la CPU.
Bus: Conjunto de circuitos y conectores
Podramos decir que la ALU es el cerebro del
procesador, y el procesador el cerebro de la
computadora.

add x + y = z x=3 y=2

Aplicacin
Instrucciones Datos
Memoria
Z=5
add x + y = z
x=3 y=2
UC UP CPU
ALU
Regstros
1. El software mantiene sus datos e instrucciones en memoria.

2. Cuando una accin necesita ser tomada respecto de los datos, estos y sus instrucciones asociadas son pasados a la
CPU.
3. Una vez all los datos son colocados en registros de instrucciones, quedando a la espera de que la UC indique que
es hora de que los mismos sean procesados.
4. Finalmente los datos procesados son enviados nuevamente a la memoria de la computadora quedando estos
disponibles para ser tratados por la aplicacin, con el objeto de que esta pueda continuar con su tarea.

3
Ciclo de Ejecucin de una Instruccin
Fetch
El CPU presenta la direccin de la prxima instruccin a
ejecutar a la memoria
CPU obtiene la instruccin localizada en la direccin
definida
Execute
Decodificacin y Ejecucin
Este ciclo es controlado y sincronizado utilizando

clock signals.

Ciclo de Ejecucin de una Instruccin (Cont.)

CPU States
La CPU, se encuentra siempre en alguno de los

siguientes estados principales:
User State
En este estado, solo pueden ser ejecutadas instrucciones no-
privilegiadas.
Supervisor State / Privileged Mode

En este estado, pueden ser ejecutadas tanto instrucciones
no-privilegiadas como privilegiadas.
Nota: En realidad los estados de ejecucin pueden ser mas, dependiendo

bsicamente de la arquitectura de sistemas subyacente.

4
Process States
Un proceso es un programa en ejecucin, el cual se

encuentra compuesto de cdigo ejecutable, datos e
informacin relativa su ejecucin.
Un proceso trabaja en su propio espacio de

direcciones y puede comunicarse con otros procesos,
solo a travs de pasos autorizados por el sistema
operativo.

Process State (Cont.)
Process State no es lo mismo que CPU States.

Mientras que CPU State define el modo operativo de
la CPU, Process State se refiere al modo en que los
procesos se encuentran corriendo dentro de esta.
El estado de los procesos o Process State, es

particular de cada sistema operativo. Ready, Waiting,
Running y Stopped son solo algunos de los estados
mas comnmente encontrados.

Ready
El proceso esta disponible para ser utilizado y a la espera
de una instruccin.
Waiting
El proceso est listo para continuar con su ejecucin, pero
se encuentra a la espera de un dispositivo u otro tipo de
requerimiento. (Ejemplo: Obtencin de datos desde el
disco rgido, obtencin de un registro en BD)
Running
Las instrucciones del proceso estn siendo ejecutadas por
la CPU.
Stopped
El proceso se encuentra detenido.

5

Mtodos de Mejora de Procesamiento
Pipelining
Aumenta la performance mediante la superposicin de las
tareas de diferentes instrucciones

Mtodos de Mejora de Procesamiento (Cont.)
Complex-Instruction-Set-Computer (CISC)
Utiliza un conjunto de instrucciones que permiten realizar
mltiples operaciones por instruccin (Pentium, Cyrix y
AMD)
Reduced-Instruction-Set-Computer (RISC)
Utiliza instrucciones mas simples que requieren menos
ciclos de procesamiento para ser ejecutadas (Power PC,
Motorola y SPARC)

6
Cuando se ejecuta un programa difcil, o extenso, los CISC son ms

rpidos y eficaces que los RISC. En cambio cuando se tiene en
ejecucin un conjunto de instrucciones sencillas, cortas y simples,
los RISC son ms rpidos.

Scalar Processor
Procesador que ejecuta una instruccin por vez.
Superscalar Processor
Procesador que permite la ejecucin de varias
instrucciones en la misma etapa del pipeline, como as
tambin en diferentes etapas de pipeline. (IBM RS/6000)

Very-Long Instruction-Word Processor (VLIW)

Procesador en el cual una instruccin especifica mas de
una operacin concurrente.

7
Multitasking
Ejecucin de dos o mas tareas al mismo tiempo utilizando
un solo CPU.
Coordinado por el SO (Windows 2000, Linux, OS/390, etc.)

Multiprogramming
Ejecucin simultnea de dos o ms programas utilizando
un solo CPU.
A diferencia de lo que ocurre con Multitasking, cuya implementacin

suele encontrarse en sistemas operativos de PC tales como Linux y
Windows, Multiprogramming suele encontrarse generalmente en
mainframes o sistemas legacy.
Multitasking es normalmente coordinado por el sistema operativo,

mientras que Multiprogramming requiere que el software se
encuentre especialmente escrito para coordinar sus propias
acciones a travs del sistema operativo.

Multiprocessing
Ejecucin simultnea de dos o ms programas en mltiples
CPUs.
SMP (Symmetric Multiprocessing)

Una computadora, con mas de un procesador, controlado por un
solo sistema operativo (Bus de Datos y Memoria Compartidos).
MPP (Massively Parallel Processing)

Cientos o miles de procesadores, cada uno de los cuales utiliza su
propio juego de recursos (sistema operativo, bus de datos y
memoria).

8
Proceso VS Thread
Un proceso es un programa en ejecucin que posee su
propio espacio de trabajo, y solo puede comunicarse con
otro proceso de modo controlado. Un Thread en cambio,
representa una pieza de cdigo que esta siendo ejecutada
dentro de un proceso. Un proceso puede incluir uno o mas
Threads.

Multithreading
Ejecucin de mltiples tareas al mismo tiempo utilizando
un solo CPU. A diferencia de lo que ocurre con Multitasking
donde las diferentes tareas ocupan diferentes procesos,
Multithreading permite ejecutar varias tareas en un solo
proceso.
Quizs un buen ejemplo de Multithreading, sea cuando abrimos

varios documentos de Word, lo cual no genera mltiples instancias
de Word, precisamente porque todas ellas corren en un solo
proceso utilizando diferentes hilos.

Memorias
Cache
Flash Memory
RAM (Random Access Memory)
Dynamic Random Access Memory (DRAM)
Extended Data Output RAM (EDO RAM)
Synchronous DRAM (SDRAM)
Double Data Rate SDRAM (DDR SDRAM)
Burst Extended Data Output DRAM (BEDO DRAM)
ROM (Read Only Memory)
Programmable Read Only Memory (PROM)
Erasable Programmable Read-Only Memory (EPROM)
Electrically Erasable Programmable Read-Only Memory
(EEPROM)

9
Memorias (Cont.)
Memoria Primaria (Real Memory Primary Storage)

Directamente accesible por la CPU y frecuentemente
utilizada al momento de almacenar datos e instrucciones
asociados con el programa que se encuentra en ejecucin.
Generalmente RAM.
Memoria Secundaria (Secondary Storage)

Almacenamiento no voltil, mas lento que la memoria
primaria. Ejemplo: Discos Rgidos, CDs, DVDs, Floppys.

Memorias (Cont.)
Memoria Virtual (Virtual Memory Virtual Storage)

Combinacin de memoria primaria y secundaria. Define un
nico espacio de direccionamiento. Habilidad para
extender el tamao aparente de la memoria RAM usando
parte del disco rgido. (Swapping / Paging)
Concepto Asociado a Memorias: Voltil No Voltil

Memorias (Cont.)
Esquema de
Jerarqua
CPU
Cache
Primaria
CPU RAM = 200 ns Secundaria
CPU Hard Drive =12.000.000 ns

10
Direccionamiento de Memoria
Cuando se utilizan recursos de memoria, el

procesador debe tener alguna forma de referirse a los
diferentes lugares existentes dentro de ella. La
solucin a este problema, se conoce como
Direccionamiento por su termino en ingles
Addressing.

Direccionamiento de Memoria (Cont.)
Por Registro (Register Addressing)

Directo (Direct Addressing)
Absoluto (Absolute Addressing)
Indexado (Indexed Addressing)
Implcito (Implied Addressing)
Indirecto (Indirect Addressing)

Memory Protection
Previene el acceso de un programa al espacio de

memoria reservado para otro programa
Se implanta a nivel de sistema operativo o hardware
Memoria Memoria Memoria

Proceso
Proceso
Proceso
Proceso
Proceso
Proceso
Proceso
Proceso
Aplicacion A Aplicacion B Aplicacion C

11
Input / Output Structures
Input/Output (I/O) interface adapters

Permiten la comunicacin entre el procesador y los
dispositivos externos
Memory-Mapped I/O
Se otorga una direccin de memoria central al dispositivo
Isolated I/O
Una seal especial en el bus de comunicacin indica la ejecucin de una
operacin de I/O. No utiliza memoria central
Direct Memory Access (DMA)

Data es transferida en forma directa desde y hacia la memoria, no requiere
del CPU
Interrupt Processing
Una seal externa interrumpe el flujo normal del programa para requerir
servicio

Bus
Bus : Circuitos impresos (o bien cables) que transmiten los

datos del microprocesador.
de transmisin de datos : lneas fsicas por dnde

circulan los datos que se han ledo o que se van a
escribir (entrada/salida).
de direcciones : lneas fsicas por dnde circulan las

direcciones de memoria desde dnde se leern
(entrada), o se escribirn (salida), los datos.
de control : lneas fsicas por dnde circulan las

rdenes de control (entrada/salida).

Sistema Operativo
El Sistema Operativo es el software principal de toda

plataforma de computo.
Este es cargado en la computadora por medio de un
programa denominado Boot, nombre con el que
solemos referirnos al proceso responsable de la carga
del sistema operativo.
Grandes computadoras o mainframes, utilizan una
secuencia boot conocida como IPL (Initial Program
Load).
Durante toda secuencia de booteo, un pequeo
programa es cargado en memoria, el cual una vez
inicializado realiza la carga total del sistema operativo.
12
Sistema Operativo (Cont.)
Una vez en ejecucin, el sistema operativo es el

responsable de controlar varios subsistemas tales
como las utilidades de software, aplicaciones,
sistemas de archivos, control de acceso, etc.
Todo sistema operativo persigue dos objetivos

primarios:
Controlar el uso de los sistemas y recursos.
Proveer de una interfaz entre usuario y computadora.

Sistemas Abiertos y Cerrados
Los sistemas pueden ser desarrollados de forma tal de que

resulte sencilla su integracin con otros sistemas (Open), o
pueden ser desarrollados con una naturaleza mas propietaria
(Closed) construidos para funcionar solo con un sub-grupo de
otros sistemas o productos
Sistemas Abiertos
Vendor-independent
Especificaciones pblicas/ Interfaces disponibles
Sujeto a revisiones independientes
Sistemas Cerrados
Sistema propietario
Usualmente no compatible
Puede tener vulnerabilidades no conocidas/publicadas
Algunos Conceptos
Subject: Sujeto, Personas, Asunto, Proceso.

Entidad Activa.
Object: Objeto, Informacin, Dato.
Entidad Pasiva.
Clearance: Acreditacin del Sujeto.

Classification: Clasificacin del Objeto.

13
Mecanismos de Proteccin
Trusted Computing Base (TCB)

Reference Monitor
Security Kernel

Mecanismos de Proteccin (Cont.)
Trusted Computing Base (TCB)

Combinacin de todos los mecanismos de seguridad dentro de
un sistema (Hardware + Software + Firmware).

Reference Monitor
Modelo abstracto que define las reglas para evaluar si los
sujetos puede en funcin de sus credenciales acceder a los
objetos clasificados.
Controla el acceso de sujetos (Subject, Sujeto, Asunto,
Personas) a recursos (Object, Objeto, Informacin).
Concepto abstracto, implementado en Security Kernel.

14
Security Kernel
Parte del TCB que implementa y asegura el concepto del
Reference Monitor. Se compone de hardware, firmware y
software. Analiza todos los intentos de acceso de los sujetos a
los objetos.
Es responsable por mediar entre los accesos de sujetos a
objetos; estar protegido de modificaciones; ser verificable como
correcto.

Requerimientos para el Security Kernel

Aislamiento del proceso.
Intermediario. Imposible de esquivar.
De funcionamiento verificable.
Pequeo para ser verificado en su totalidad en forma confiable.

Security Kernel

15
Protection Domain
Conjunto de objetos que un sujeto es capaz de acceder. Los
dominios deben ser identificados, separados y asegurados.
Security Perimeter
Lnea que separa el TCB del resto del sistema (Todos los
elementos que se encuentra ms all del control de TCB se los
denomina externos al permetro de seguridad).
Resource Isolation
Principio que dicta que sujetos, objetos y controles; deben
encontrarse correctamente aislados unos de otros.
Requerimiento bsico de toda arquitectura y modelo de
seguridad.

Protection Rings
Se organizan con el dominio mas privilegiado localizado en el
anillo del centro y el de menor privilegio en el anillo mas alejado
del mismo.
En el anillo 0 usualmente se encuentra el Kernel del sistema
operativo.
Un sujeto en el anillo 3, no puede acceder directamente un
objeto situado en el anillo 1, pero un sujeto en el anillo 1 si
puede acceder directamente un objeto situado en el anillo 3.
Las entidades, solo pueden acceder objetos dentro de su propio
anillo o a uno superior.

Proteccin Rings

16
Layering
Concepto bsico del diseo
de sistemas operativos.

Data Hiding
Importante caracterstica de la seguridad multinivel.
Este principio asegura que los datos existentes en un
nivel de seguridad, no son visibles a procesos que se
ejecutan en un nivel diferente.
El concepto clave detrs de Data Hiding, es el de
asegurar que quienes no tengan Need-to-Know
respecto del detalle involucrado en el acceso y
procesamiento de datos en un determinado nivel, no
tenga forma de deducir, observar u aprender el mismo.

Modos de Seguridad
17
Modos de Seguridad
Histricamente, los requerimientos de seguridad han

sido satisfechos por medio del uso contramedidas
relacionadas con aspectos fsicos, de las personas, y
de la informacin en si misma.
Con los avances en tecnologa, es posible

implementar contramedidas, ya no solo en el entorno,
sino tambin en el mismo sistema.
El gobierno de los EEUU ha designado cuatro modos

de seguridad a partir de los cuales puede ser posible
procesar informacin clasificada.

Modos de Seguridad (Cont.)
El modo de operacin, describe las condiciones de seguridad

bajo las cuales el sistema realmente debe funcionar.
Un sistema puede operar en diferentes modos, dependiendo

de la sensibilidad de los datos que en el mismo han de ser
procesados, el nivel de separacin de los usuarios
(Clearance Level Clasificacin de la Informacin) y lo que
estos usuarios se encuentran en condiciones de hacer.
El nivel o modo de seguridad de computo requerido en un

sistema, depende de la evaluacin del riesgo y la naturaleza
del entorno.

Need-to-Know
Need-to-Know Access (Otorgar acceso solo a lo necesario)
Esquema de autorizacin de acceso, en el cual los derechos de

acceso a un objeto por parte de un sujeto, son otorgados
tomando en consideracin, no solo el nivel de privilegio que el
mismo posee, sino tambin la relevancia del dato involucrado en
la tarea que el sujeto debe realizar.
Need-to-Know indica que el sujeto requiere acceso al objeto a fin

de poder realizar su trabajo.
Aun teniendo el nivel de privilegio adecuado, quienes no tengan

Need-to-know, no deben ser capaces de acceder el objeto en
cuestin.

18
Dedicated Security Mode

System High Security Mode
Multi-Level Security Mode (MLS)
Compartmentalized Security Mode (Partitioned)

Dedicated Security Mode

Todos los usuarios estn autorizados y tienen need-to-
know de la informacin que es procesada por el sistema.
Muchos sistemas militares han sido diseados para manejar

un nivel de seguridad en modo dedicado.
En este modelo, cada uno de los usuarios que acceden al
sistema debe poseer un alto nivel de clearance.
Si un sistema maneja informacin clasificada como TOP
SECRET, solo usuarios con este clearance level podrn
acceder el mismo.

System High Security Mode

Todos los usuarios del sistema tienen permitido y aprobado
la posibilidad de ver la informacin dentro del sistema, pero
no necesariamente necesitan conocer la misma
(tpicamente militar).
La diferencia entre Dedicated Security Mode y System High

Security Mode, es que en el primero todos los usuarios tienen
need-to-know sobre todos los datos del sistema, mientras
que en System High Security Mode, todos los usuarios tienen
need-to-know sobre ALGUNOS de los datos.
Al igual que en el modelo anterior, en este cada uno de los
usuarios que acceden al sistema debe poseer un alto nivel de
clearance, sin embargo un usuario puede tener acceso
restringido a informacin para la cual no tiene need-to-
know.

19
Multi-Level Security Mode (MLS)

Este modo de operacin, permite que dos o mas niveles de
clasificacin, sean utilizados en forma simultanea.
No todo el personal que tiene acceso al sistema tiene la

aprobacin ni la necesidad de conocer para toda la
informacin dentro del sistema.

Compartmentalized Security Mode (Partitioned)

Un sistema se encuentra operando en Compartmented Security
Mode, cuando todos los usuarios tienen clearance respecto de la
totalidad de la informacin procesada por el sistema, pero no
todos tienen la need-to-know.
En este modo, se establecen restricciones de acceso a los

usuarios, sobre la porcin de informacin para la que no existe
need-to-know. De esta forma, los usuarios terminan accediendo
nicamente a un segmento, particin o compartment de datos.
En un sistema acorde al Compartmentalized Security Mode,
algunos necesitan conocer la informacin, otros no.
Los usuarios del sistema deben cumplir con los requerimientos
para el rea o particin a la que desean acceder.

Cuadro Resumen Clearance/Need-to-Know
Modo Clearance Need-to-Know NDA
Dedicated == No SI
System High == SI SI
Compartmented == SI SI
Multilevel Diferente SI SI
* Si no aplica, el valor asignado a Need-to-Know es NO. Por el contrario, si el acceso

es limitado por restricciones del tipo Need-to-Know, este valor es SI.

20
Los modelos de seguridad son un concepto importante

en el anlisis y diseo de sistemas de computo seguro.
Un modelo de seguridad, provee un framework dentro

del cual puede ser implementada una poltica de
seguridad.
Un modelo de seguridad, define los lineamientos

necesarios para implementar y soportar la poltica de
seguridad.

Modelos de Seguridad (Cont.)
Mientras que una poltica de seguridad es generalmente

un conjunto de directivas o intenciones abstractas, un
modelo de seguridad representa exactamente el modo
en el cual la poltica debera ser implementada.
Un modelo de seguridad, a su vez provee los

lineamientos y directivas que deben cumplir los
desarrollos de hardware y software, motivo por el cual
solemos referirnos a estos como la representacin
simblica de una poltica de seguridad en un conjunto de
reglas que pueden ser seguidas por una computadora.

21
En resumen
Las polticas de seguridad proveen los objetivos

abstractos y el modelo de seguridad provee las reglas
necesarias para cumplir con dichos objetivos.

Implementacin
En la actualidad, los modelos formales de seguridad

han quedado algo relegados respecto de la cambiante
dinmica de negocios con la cual convivimos a diario.
En rigor de verdad, si bien los mismos an permiten
establecer parmetros generales, a nivel prctico solo
pueden ser implementados parcialmente.
(Conceptos tales como: Firewall, Troyanos o Worms, no se

encuentran contemplados en los denominados modelos formales)

Bell-LaPadula
Biba
Clark & Wilson
Otros Modelos
Brewer & Nash - Chinese Wall (Muralla China)
Lattice (Enrejado)
State machine (Mquina de estados)
Information flow (Flujo de informacin)
Non-interference (No-interferencia)
Access Matrix (Matriz de accesos)

22
Bell-LaPadula
Descripcin formal de los flujos de informacin

permitidos dentro de un sistema seguro.
Se utiliza para definir requerimientos de seguridad para

sistemas que deben administrar datos a diferentes
niveles de sensitividad.
*-Property (propiedad estrella) previene el write-down,

Sujetos pertenecientes a niveles de acceso superiores
no pueden escribir informacin en objetos de niveles de
sensitividad inferiores. Evita el filtrado de informacin
sensitiva a niveles menos seguros.

Bell-LaPadula (Cont.)

El modelo define un estado seguro (secure state)

El acceso entre sujetos y objetos respeta una poltica de
seguridad especfica.
TCSEC es una implantacin de Bell-LaPadula
Bell-LaPadula solo aplica a la sensitividad (nivel de
confidencialidad/secreto) de la informacin.
Tal vez el modelo mas representativo respecto de
ambientes militares.

23
Resumen: Bell-LaPadula
Orientado a mantener la confidencialidad.
Reglas de Operacin:
simple-rule (no read up) = espionaje
*-rule (no write down) = divulgacin
strong-*-rule : si se posee la capacidad de read y write
slo se pueden realizar estas funciones en el mismo
nivel.

Biba Integrity Model
El modelo Biba cubre niveles de integridad, los cuales

son anlogos a los niveles de sensitividad del modelo
Bell-LaPadula.
Los niveles de integridad cubren la modificacin
inapropiada de datos.
Tal vez el modelo mas representativo respecto de
ambientes comerciales.

Biba Integrity Model (Cont.)
Previene que usuarios no autorizados realicen

modificaciones (1er objetivo de integridad)
Modelo Read Up, Write Down

Los sujetos no pueden leer objetos de integridad
inferior, y no pueden escribir objetos de integridad
superior.

24

Biba
Bell-LaPadula

Resumen: Biba
Orientado a asegurar la Integridad
Reglas de Operacin:
simple-rule: no read down = evitar las fuentes dudosas.
*-rule: no write up = no contaminar otros documentos.

25
Modelo Clark & Wilson
Al igual que Biba, este modelo se encuentra orientado

a proteger la integridad de la informacin.
Cumple con los principales objetivos de un modelo de
integridad:
Previene las modificaciones por parte de usuarios no
autorizados. (T Tamper).
Previene que usuarios autorizados realicen modificaciones
inapropiadas.
Mantiene la consistencia interna y externa. (C Consistencia)
Refuerza el concepto de auditoria.
Todas las las modificaciones deben ser registradas (L - Logged)

Modelo Clark & Wilson (Cont.)
Propone Well Formed Transactions

Una WFT no es mas que una serie de operaciones que
permiten la transferencia de datos de un estado seguro a
otro estado seguro.
Algunos de los principios relacionados con WFT son:
Ejecucin de tareas en forma ordenada.
Ejecucin exacta de las tareas definidas.
Autenticacin de los individuos que ejecutan las tareas.
El modelo Clark & Wilson, incorpora la separacin de

tareas (separation of duties) dentro de la arquitectura
de una aplicacin. Es decir, provee las reglas que los
desarrolladores deben seguir a efectos de reforzar
este principio a travs de procedimientos de software.
Users: Agente Activo

TPs: Procedimiento de Transformacin
CDIs: Constrained data items
UDIs: Unconstrained data items
IVPs: Integrity Verification Procedures

26
Resumen: Clark & Wilson

Orientado a asegurar la Integridad
Conceptos Clave:
Access Triple = Subject Application (SW) Object
Auditing = Aplicacin logueando accesos
Separation of Duties = Separacin de tareas.

Otros Modelos Brewer & Nash
Brewer & Nash - Chinese Wall (Muralla China)

Creado para proveer un tipo de control de acceso, capaz de
cambiar dinmicamente dependiendo de acciones previas
realizadas por el usuario
Su principal objetivo es el de prevenir el conflicto de intereses.

Escenario: Una gran compaa de Marketing que provee campaas y
materiales promocionales para dos importantes bancos. Un empleado
trabajando en el proyecto del banco A, no debera tomar conocimiento del
material de proyecto en el que otro empleado se encuentra trabajando para
el banco B.
Reglas de Operacin:
simple-rule: Un sujeto puede leer un objeto si slo si, no puede
escribir en otros objetos que entren en conflicto con el primero.
*-rule: Un sujeto puede escribir en un objeto si no ha ledo los
datos de otros objetos que entren en conflicto con el primero.

Otros Modelos Lattice (Enrejado)
Lattice (Enrejado)
Fuerza el concepto de need-to-know.
Reglas de Operacin:
Los objetos se clasifican por nivel y rea (Dominio)
Los sujetos poseen acreditacin por nivel y dominio de
inters (Need-to-know).
Los sujetos pueden acceder a los objetos si y solo si:
Sujeto.Nivel > o = Objeto.Nivel
Sujeto.Dominio incluye a Objeto.Dominio
El modelo plantea el acceso basado en los conceptos de
least upper bound (menor limite superior) y greatest lower
bound (limite inferior mas alto), a partir de los cuales se
aplica el control de acceso mas restringido.

27
Otros Modelos Lattice (Enrejado) (Cont.)

Kathy Security Clearance
TS{Iraq,Korea}
Reglas de Operacin:
simple-rule (no read up) = espionaje
*-rule (no write down) = divulgacin
strong-*-rule : si se posee la
capacidad de read
y write slo se pueden realizar
estas funciones
en el mismo nivel.

Otros Modelos State Machine
Modelo de mquina de estados

(State Machine Model)
Modelo matemtico abstracto que se compone de
variables de estado y funciones de transicin entre
estados.
La mayora de los modelos formales de seguridad,

incluyendo Bell-LaPadula y Biba, se consideran
derivados de este modelo.

Otros Modelos Information Flow
Modelo de flujo de informacin

(Information Flow Model)
Simplifica el anlisis de covert channels. Cuando
Information Flow Model es utilizado, un sistema es
seguro si todo flujo de informacin ilegal no es permitido.
Bell-LaPadula es un modelo de IF que asegura que la

informacin no pueda fluir de un compartimiento a otro en forma
que afecte la confidencialidad. Biba define compartimientos de
datos basado en niveles de integridad, implementando de este
modo, un modelo de IF que proteja la integridad de la
informacin mas confiable.

28
Otros Modelos No-Interferencia
Modelo de no-interferencia
(Non-interference Model)
Cubre aquellos casos en los que se necesita prevenir que
sujetos que operan en un determinado dominio puedan afectarse
entre s violando la poltica de seguridad (Actividades realizadas
sobre un nivel de seguridad no deberan afectar o ser vistas, por
sujetos u objetos en un nivel de seguridad diferente).
De utilizacin tpica en sistemas multi-nivel.

Su principal propsito no es otro que el de combatir ataques de
inferencia y de covert channels.

Otros Modelos Matriz de Accesos
Modelo de Matriz de Accesos

(Access Matrix Model)
Es un modelo de mquina de estados aplicado a un
ambiente DAC (Discretionary Access Control). Decisiones
de acceso, son basadas en ACLs de objetos y tablas de
capacidades del sujeto.

Otros Modelos Matriz de Accesos (Cont.)

29
Modelos de Seguridad - Resumen
Cuadro Resumen Integridad/Confidencialidad
Modelo Directiva Primaria
Bell-LaPadula Confidencialidad
Biba Integridad
Clark-Wilson Integridad
Access Control List Intenta ambos

Guas de Evaluacin
Guas de Evaluacin
El proceso de determinar cuan seguro es un sistema

puede ser una tarea difcil.
Las organizaciones necesitan mtodos para evaluar el
grado de seguridad otorgado por tal o cual sistema, y
de este modo determinar si el mismo resuelve los
requisitos impuestos por la poltica de seguridad
implementada.
Una gua de evaluacin, debera ser lo
suficientemente general en sus principios, de modo tal
que la misma sirva a los efectos de comparar
diferentes tipos de sistemas y otorgar a los mismos
una clasificacin de acuerdo al nivel de seguridad que
presentan.

30
Guas de Evaluacin (Cont.)
Inicialmente, el concepto detrs de la confeccin de

una Gua de Evaluacin, se encuentra ntimamente
relacionado con la necesidad por parte de las
agencias de seguridad, el gobierno, y las
organizaciones privadas, de conocer el nivel o grado
de seguridad, existente en los diferentes sistemas,
aplicaciones o productos al momento de efectuar una
compra o contratacin.

Guas de Evaluacin
TCSEC Trusted Computer Systems Evaluation

Criteria Orange Book
ITSEC - Information Technology Security Evaluation

Criteria (Europa)
CTCPEC - Canadian Trusted Computer Product

Evaluation Criteria
Common Criteria

TCSEC
En 1985 el National Computer Security Center

(NCSC), desarrolla para el Departamento de Defensa
de los EEUU (DoD), un conjunto de estndares, los
cuales resultan en la creacin de TCSEC (Trusted
Computer System Evaluation Criteria).
El principal objetivo detrs de la creacin de TCSEC
es el de proveer al gobierno y entidades relacionadas,
con un guideline que les permitiera evaluar los
productos ofrecidos por los diferentes proveedores,
para cada uno de los criterios de seguridad
especificados.

31
TCSEC (Cont.)
TCSEC == Orange Book

TCSEC provee:
Una base para establecer requisitos de seguridad en las
especificaciones de adquisicin.
Un estndar de los servicios de seguridad que deben
ser proporcionados por los vendedores para los
diferentes criterios de seguridad existentes.
Una forma de medir la seguridad de un sistema de
informacin.
TCSEC direcciona confidencialidad. No integridad.
La funcionalidad de los mecanismos de seguridad y el
Assurance de los mismos, NO son evaluados en forma
separada.

TCSEC (Cont.)
D - Minimal protection
C - Discretionary Protection
C1 Usuarios cooperativos que pueden proteger su propia
informacin
C2 DAC ms granular, se puede auditar al usuario/ proceso
individualmente (individual accountability)
Windows NT 4.0/ 2000 (bajo ciertas condiciones)
Novell Netware
B - Mandatory Protection (Bell-LaPadula, RM, Security Labels Requeridas )
B1 Labeled Security Protection (Process Isolation!)
B2 Structured Protection (Covert Channels!)
B3 Security Domains
A - Verified Protection (Direcciona seguridad a nivel Top Secret)
A1 Verified Design

ITSEC
ITSEC (Information Technology Security Evaluation Criteria)

Desarrollado en Europa como estndar nico de evaluacin de
la seguridad en sistemas.
Evala Funcionalidad y Seguridad (Assurance) en forma
separada.
Effectiveness = Hacen lo que se espera que haga.
Correctiveness = Que tan correcto es el proceso por el cual lo
hacen.
Clasificaciones por:
F1-F10 Niveles de Funcionalidad.
E0-E6 Niveles de Assurance.
ITSEC direcciona Integridad, Disponibilidad y Confidencialidad.
ITSEC se ocupa de evaluar sistemas en red mietras que TCSEC
solo hace lo propio con sistemas stand-alone.

32
Common Criteria (CC)
Creado por el ISO en 1993.

Creado a partir de TCSEC, ITSEC, Canadian Trusted.
Computer Product Evaluation Criteria (CTCPEC) y el
Federal Criteria.
Provee mas flexibilidad que TCSEC e ITSEC.

Componentes del Common Criteria (CC)
Protection Profile (PP)

Descripcin de las necesidades de seguridad de un
producto.
Target of Evaluation (TOE)
Producto que se propone evaluar.
Security Target (ST)
Descripcin escrita por el proveedor explicando las
funcionalidades de seguridad (que hace?) y
mecanismos de assurance que cumplen los
requerimientos de seguridad (como lo hace?).

Componentes del Common Criteria (Cont.)
Packages Evaluation Assurance Levels (EAL)

Los requerimientos Funcionales (definen el
comportamiento del producto relacionado con la
seguridad) y de Assurance (establece el nivel de
confianza en el producto) son reunidos en paquetes
para ser reutilizados.
Describen los requisitos a cumplir para alcanzar cada
nivel EAL especfico.

33
Package Ratings Evaluations Ratings
EAL 1 Functionally tested

EAL 2 Structurally tested Basic
EAL 3 Methodically tested and checked Assurance
EAL 4 Methodically designed, tested and
reviewed
Medium
EAL 5 Semiformally designed and tested
Assurance
EAL 6 Semiformally verified design and tested High
EAL 7 Formally verified design and tested Assurance

Certificacin &
Acreditacin
Certificacin & Acreditacin
Procedimientos y Juicios que determinan si un

sistema se encuentra en condiciones para operar en
un ambiente operativo determinado (suitability).
La certificacin considera al sistema dentro del

ambiente operativo.
La acreditacin refiere a la decisin oficial de la

gerencia relacionada con la operacin del sistema en
el ambiente especificado.

34
Certificacin & Acreditacin (Cont.)
Certificacin
Evaluacin tcnica mediante la cual se revisan los
mecanismos y controles de seguridad, con el objeto
de evaluar su efectividad.
Acreditacin
Aceptacin oficial de los resultados de una
certificacin.

Amenazas - Ataques
Amenazas
Covert Channels
Timing Attacks
Radiacin Electromagntica

35
Covert Channels
Un canal de comunicacin que permite la transferencia de

informacin entre dos procesos violando la poltica de seguridad
del sistema.
Producto de:
Descuido en el desarrollo del producto.
Implementacin no apropiada de control de acceso.
Existencia de un recurso compartido entre dos entidades.
Instalacin de un Caballo de Troya.
Covert Storage Channel involucra uso de memoria compartida

entre los dos procesos.
Covert Timing Channel involucra la modulacin del uso de un
recurso del sistema (por ejemplo CPU).

Timing Attacks / Asynchronous Attacks
Timing Attacks Asynchronous Attacks

Buscan tomar ventaja en el paso del tiempo entre dos
eventos diferentes.
Time of Check / Time of Use (TOC/TOU)
El ataque ocurre por ejemplo, entre el momento en el
que se revisa un archivo determinado y el momento en
que se lo utiliza.
Un usuario se logue en el sistema por la maana y es
despedido por la tarde. Por seguridad, el administrador
remueve el usuario de la base de datos, pero si el
usuario en cuestin no es obligado a hacer el log off,
aun podr seguir accediendo por algn tiempo a los
recursos de la compaa.

Radiacin Electromagntica
Simplemente debido a las clases de componentes

electrnicos con los cuales se construyen, muchos
dispositivos de hardware emiten radiacin
electromagntica durante su operacin.
En ciertas circunstancias estas emanaciones pueden
ser interceptadas y las secuencias de teclado
reconstruidas.
Tambin es posible detectar y leer paquetes de red en
forma pasiva, a lo largo de un segmento de la red.

36
Referencias y Lecturas
Complementarias
Referencias y Lecturas Complementarias
CISSP All-in-One Exam Guide, Third Edition (All-in-One)

By Shon Harris (McGraw-Hill Osborne Media) ISBN: 0072257121
Official (ISC)2 Guide to the CISSP Exam
By Susan Hansche (AUERBACH) ISBN: 084931707X
The CISSP Prep Guide: Gold Edition
By Ronald L. Krutz, Russell Dean Vines (Wiley) ISBN: 047126802X
CISSP Certification Training Guide
By Roberta Bragg (Que) ISBN: 078972801X
CCCure.Org WebSite: http://www.cccure.org
By Clement Dupuis
Advanced CISSP Prep Guide: Exam Q&A
By Ronald L. Krutz, Russell Dean Vines (Wiley) ISBN: 0471236632
Information Security Management Handbook, Fifth Edition
By Harold F. Tipton, Micki Krause (Que) ISBN: 0849319978
CISSP: Certified Information Systems Security Profesional Study Guide,
Third Edition
By James M. Stewart, Ed Tittel, Mike Chapple (Sybex) ISBN: 0782144438

Preguntas?
37

CISSP - 02 - Security Architecture and Design v3

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

CISSP - 02 - Security Architecture and Design v3

Enviado por

Direitos autorais:

Formatos disponíveis

CISSP Security Training Security Architecture and Models

Security Architecture and Design

CISSP Security Training - Security Architecture and Design 2

Security Architecture and Design

La Arquitectura de Computadoras es una disciplina de

Para que una Arquitectura termine por ser segura,

CISSP Security Training - Security Architecture and Design 4

Arquitectura de Computadoras (Cont.)

La Arquitectura de Computadoras comprende todas y

CISSP Security Training - Security Architecture and Design 5

Arquitectura de Computadoras (Cont.)

CISSP Security Training - Security Architecture and Design 6

Arquitectura de Computadoras (Cont.)

CPU (Unidad Central de Procesamiento)

Caractersticas principales de los

CISSP Security Training - Security Architecture and Design 7

Arquitectura de Computadoras (Cont.)

UC (Unidad de Control): La Unidad de

UP (Unidad de Proceso): Formada por

CPU ALU (Unidad Aritmtico-Lgica): Encargada

CISSP Security Training - Security Architecture and Design 8

Arquitectura de Computadoras (Cont.)

add x + y = z x=3 y=2

1. El software mantiene sus datos e instrucciones en memoria.

CISSP Security Training - Security Architecture and Design 9

Ciclo de Ejecucin de una Instruccin

Este ciclo es controlado y sincronizado utilizando

CISSP Security Training - Security Architecture and Design 10

Ciclo de Ejecucin de una Instruccin (Cont.)

CISSP Security Training - Security Architecture and Design 11

La CPU, se encuentra siempre en alguno de los

Supervisor State / Privileged Mode

Nota: En realidad los estados de ejecucin pueden ser mas, dependiendo

CISSP Security Training - Security Architecture and Design 12

Un proceso es un programa en ejecucin, el cual se

Un proceso trabaja en su propio espacio de

CISSP Security Training - Security Architecture and Design 13

Process State (Cont.)

Process State no es lo mismo que CPU States.

El estado de los procesos o Process State, es

CISSP Security Training - Security Architecture and Design 14

Process State (Cont.)

CISSP Security Training - Security Architecture and Design 15

Process State (Cont.)

CISSP Security Training - Security Architecture and Design 16

Mtodos de Mejora de Procesamiento

CISSP Security Training - Security Architecture and Design 17

Mtodos de Mejora de Procesamiento (Cont.)

CISSP Security Training - Security Architecture and Design 18

Mtodos de Mejora de Procesamiento (Cont.)

Cuando se ejecuta un programa difcil, o extenso, los CISC son ms

CISSP Security Training - Security Architecture and Design 19

Mtodos de Mejora de Procesamiento (Cont.)

CISSP Security Training - Security Architecture and Design 20

Mtodos de Mejora de Procesamiento (Cont.)

Very-Long Instruction-Word Processor (VLIW)

CISSP Security Training - Security Architecture and Design 21

Mtodos de Mejora de Procesamiento (Cont.)

Coordinado por el SO (Windows 2000, Linux, OS/390, etc.)

CISSP Security Training - Security Architecture and Design 22

Mtodos de Mejora de Procesamiento (Cont.)

A diferencia de lo que ocurre con Multitasking, cuya implementacin

Multitasking es normalmente coordinado por el sistema operativo,

CISSP Security Training - Security Architecture and Design 23