Академический Документы
Профессиональный Документы
Культура Документы
Seguridad y
Proteccin en SO
PROFESOR: BACHILLER:
Ramn Aray Jess Guerra C.I 24.520.362
1
PROTECCIN Y SEGURIDAD DE SISTEMAS OPERATIVOS
PROTECCIN:
Objetivos
2.- Proteccin: control para que cada componente activo de un proceso solo
pueda acceder a los recursos especificados, y solo en forma congruente con la
poltica establecida.
Por el hardware.
Por el administrador / SO.
Por el usuario propietario del recurso.
2
5.- Principio de separacin entre mecanismo y poltica:
Dependiendo de la aplicacin,
7.-La proteccin no solo es cuestin del administrador, sino tambin del usuario.
Existen varios mecanismos que pueden usarse para asegurar los archivos,
segmentos de memoria, CPU, y otros recursos administrados por el Sistema
Operativo.
3
de prevenirse de violaciones intencionales de acceso por un usuario. Otras de
importancia son, la necesidad de asegurar que cada componente de un programa,
use solo los recursos del sistema de acuerdo con las polticas fijadas para el uso
de esos recursos.
Mecanismos y Polticas
Asegurarse que todos los accesos a los recursos del sistema estn controlados
Concretos:
o Ej.: discos, cintas, procesadores, almacenamiento, etc.
Abstractos:
o Ej.: estructuras de datos, de procesos, etc.
Los objetos estn protegidos contra los sujetos. Las autorizaciones a un sistema
se conceden a los sujetos.
4
Los sujetos pueden ser varios tipos de entidades:
Acceso de lectura.
Acceso de escritura.
Acceso de ejecucin.
Una matriz de control de acceso debe ser muy celosamente protegida por el S. O.
Dominios de proteccin
Es evidente que se necesita una va para prohibir el acceso de los procesos a los
objetos a los que no tiene permitido dicho acceso. Adems, este mecanismo debe
posibilitar la restriccin de los procesos a un subconjunto de operaciones legales
en caso necesario. Por ejemplo, puede permitirse que el proceso A lea el archivo
F, pero no escriba en l.
5
columnas son los objetos. Cada cuadro contiene los derechos correspondientes al
objeto en ese dominio. Con esta matriz y el nmero de dominio activo, el sistema
puede determinar si se permite el acceso de cierta forma a un objeto dado desde
un domino especifico.
Los procesos pueden alternar entre los dominios durante la ejecucin. Una
llamada al S. O. provoca una alternancia de dominio. En algunos S. O. los
dominios se llaman anillos .
6
Matriz de acceso
El modelo de proteccin del sistema se puede ver en forma abstracta como una
matriz, la matriz de acceso.
Este modelo fue propuesto por Lampson [4] como una descripcin generalizada
de mecanismos de proteccin en sistemas operativos. Es el modelo ms utilizado,
del que existen numerosas variaciones, especialmente en su implementacin.
7
El modelo considera un conjunto de recursos, denominados objetos, cuyo acceso
debe ser controlado y un conjunto de sujetos que acceden a dichos objetos. Existe
tambin un conjunto de permisos de acceso que especifica los diferentes
permisos que los sujetos pueden tener sobre los objetos (normalmente lectura,
escritura, etc., aunque pueden ser diferentes, en general, dependiendo de las
operaciones que puedan realizarse con el objeto).
Se trata de especificar para cada pareja (sujeto, objeto), los permisos de acceso
que el sujeto tiene sobre el objeto. Esto se representa mediante una matriz de
acceso M que enfrenta todos los sujetos con todos los objetos. En cada celda M[i,
j] se indican los permisos de acceso concretos que tiene el sujeto i sobre el objeto
j.
La figura 6.3.2 representa una matriz de acceso, y la figura 6.3.3 es una matriz de
acceso derivada de la figura 6.3.1 de dominios de proteccin.
8
El mecanismo de proteccin es la matriz, junto con todos los elementos que se
han de aadir para que se cumplan de manera efectiva todas las restricciones de
acceso a los objetos.
1.- Copiar derechos de acceso de una celda a otra dentro de la misma columna.
Consiste en pasar el derecho de acceso a un objeto de un Dominio que lo tiene, a
otro donde originalmente no lo tena. Se seala con un asterisco (*).
9
Movimiento de derecho.
3.- Control. Opera solo sobre dominios. Ejercer el control sobre un dominio
implica que se puede quitar cualquier derecho sobre una fila de dominio.
Se puede crear una lista de permisos por defecto para hacer ms fcil su uso.
Dado que cada vez que se va a usar un objeto hay que comprobar si hay o no
permiso para hacerlo, es lgico poner la ACL all donde estn descritos los
atributos del objeto.
10
Asocia a cada objeto una lista ordenada con:
o Todos los dominios que pueden tener acceso al objeto.
o La forma de dicho acceso (ej: lectura (r), grabacin (w), ejecucin
(x)).
Lista de Capacidades
Se expresa la MA por filas. Cada dominio tiene una lista de la forma {<objeto,
permisos>, ...}
11
Mecanismo de Cerradura-Llave
Comparacin
Capacidades Las ACL estn distribuidas, es difcil saber cules son los
derechos de acceso para un proceso, cosa que si se puede hacer con la lista de
capacidades.
Ventajas:
12
Los privilegios de acceso estn ntimamente relacionados con el tipo de
datos que se declara.
13
Proteccin en java 2
Concepto de seguridad
Los trminos seguridad y proteccin se utilizan en forma indistinta. Sin embargo,
es til hacer una distincin entre los problemas generales relativos a la garanta
de que los archivos no sea ledos o modificados por personal no autorizado, lo
que incluye aspectos tcnicos, de administracin, legales y polticos, por un lado
y los sistemas especficos del sistema operativo utilizados para proporcionar la
seguridad, por el otro. Para evitar la confusin, utilizaremos el trmino seguridad
para referirnos al problema general y el trmino mecanismo de proteccin para
referirnos a los mecanismos especficos del sistema operativo utilizado para
resguardar la informacin de la computadora. Sin embargo, la frontera entre ellos
no est bien definida.
14
disco, ejecucin incorrecta del programa, perdida de cintas o discos.
Un problema ms interesante es que hacer con los intrusos. Estos tienen dos
variedades. Los intrusos pasivos solo desean leer archivos que no estn
autorizados a leer.
Los intrusos activos son ms crueles: Desean hacer cambios no autorizados a los
datos. Si se desea disear un sistema seguro contra los intrusos, es importante
tener en cuenta el tipo de intruso con el que se desea tener proteccin. Algunas
de las categoras comunes son:
15
inters, para quedarse con una pequea fraccin de dinero, hasta sacar dinero de
las cuentas que no se han utilizado en anos o el "correo negro" .
Debe quedar claro que el intento por mantener la KGB lejos de los secretos
militares es un poco distinto del intento por evitar que los estudiantes inserten un
mensaje gracioso en el sistema. La cantidad de esfuerzo que alguien pone en la
seguridad y la proteccin depende claramente de quien se piensa sea el
enemigo.
16
denegacin de servicio. Asimismo, una cierta consulta a un servicio podra
conducir a la revelacin de contraseas o un desbordamiento de la pila
podra permitir que se iniciara un proceso no autorizado. La lista de
posibles fallos es casi infinita.
4. Red. Son muchos los datos en los modernos sistemas informticos que
viajen a travs de lneas arrendadas privadas, de lneas compartidas como
Internet, de conexiones inalmbricas o de lneas de acceso telefnico. La
interceptacin de estos datos podra ser tan daina como el acceso a un
computador, y la interrupcin en la comunicacin podra constituir un
ataque remoto de denegacin de servicio, disminuyendo la capacidad de
uso del sistema y la confianza en el mismo por parte de los usuarios.
Clasificaciones de la seguridad
La seguridad interna est relacionada a los controles incorporados al hardware y
al Sistema Operativo para asegurar los recursos del sistema.
Seguridad Externa
17
La seguridad externa consiste en:
Seguridad fsica.
Seguridad operacional.
Detectores de humo.
Sensores de calor.
Detectores de movimiento.
Seguridad Operacional
18
o No es necesario que se conozca la totalidad del sistema para
cumplir con esas responsabilidades.
o Para poder comprometer al sistema puede ser necesaria la
cooperacin entre muchas personas:
Se reduce la probabilidad de violar la seguridad.
o Debe instrumentarse un gran nmero de verificaciones y balances
en el sistema para ayudar a la deteccin de brechas en la seguridad.
o El personal debe estar al tanto de que el sistema dispone de
controles, pero:
Debe desconocer cuales son esos controles:
Se reduce la probabilidad de poder evitarlos.
Debe producirse un efecto disuasivo respecto de posibles
intentos de violar la seguridad.
Uso de contraseas.
Vulnerabilidad de contraseas.
19
Algo posedo por la persona:
o Ej.: insignias especiales, tarjetas de identificacin, llaves, etc.
Algo conocido por la persona:
o Ej.: contraseas, combinaciones de cerraduras, etc.
El usuario elige una palabra clave, la memoriza, la teclea para ser admitido en el
sistema computarizado:
Estos datos podran ser conocidos por quien intente una violacin a la seguridad
mediante intentos repetidos, por lo tanto debe limitarse la cantidad de intentos
fallidos de acierto para el ingreso de la contrasea.
20
La contrasea no debe ser muy corta para no facilitar la probabilidad de acierto.
Tampoco debe ser muy larga para que no se dificulte su memorizacin, ya que
los usuarios la anotaran por miedo a no recordarla y ello incrementara los
riesgos de que trascienda.
Verificacin de Amenazas
Es una tcnica segn la cual los usuarios no pueden tener acceso directo a un
recurso :
Los procesos son junto con el cerner , el nico medio de realizar un trabajo til
21
consiste en escribir un programa que cree una brecha de seguridad. De hecho,
las mayoras de las brechas de seguridad no relacionadas con programas tienen
por objetivos crear una brecha que si este basada en un programa. Por ejemplo,
aunque resulta til iniciar una sesin en un sistema sin autorizacin, normalmente
es mucho ms til dejar un demonio de tipo puerta trasera que proporcione
informacin o que permita un fcil acceso incluso aunque se bloquee la brecha de
seguridad original.
CABALLO DE TROYA
22
el troyano no necesariamente provoca daos porque no es su objetivo.
Suele ser un programa pequeo alojado dentro de una aplicacin, una imagen,
un archivo de msica u otro elemento de apariencia inocente, que se instala en el
sistema al ejecutar el archivo que lo contiene. Una vez instalado parece realizar
una funcin til (aunque cierto tipo de troyanos permanecen ocultos y por tal
motivo los antivirus o anti troyanos no los eliminan) pero internamente realiza
otras tareas de las que el usuario no es consciente, de igual forma que el Caballo
de Troya que los griegos regalaron a los troyanos.
Lo peor de todo es que ltimamente los troyanos estn siendo diseados de tal
manera que es imposible poder detectarlos excepto por programas que a su vez
contienen otro tipo de troyano, inclusive y aunque no confirmado, existen
troyanos dentro de los programas para poder saber cul es el tipo de uso que se
les y poder sacar mejores herramientas al mercado llamados tambin "troyanos
sociales"
Los troyanos estn actualmente ilegalizados, pero hay muchos crackers que lo
utilizan.
PUERTA TRASERA
A su vez, estas puertas tambin pueden ser perjudiciales debido a que los
23
crackers al descubrirlas pueden acceder a un sistema en forma ilegal y
aprovecharse la falencia.
Es extraa la ligereza con que los malvados creen que todo les saldr bien.
Vctor Hugo.
Ni que decir tiene que una de las formas tpicas de actuacin de los piratas
informticos es localizar o introducir a los diversos sistemas una puerta trasera y
entrar por ella.
Lo usual en estos programas los cuales no se reproducen solos como los virus,
sino que nos son enviados con el fin de tener acceso a nuestros equipos muchas
veces a travs del correo electrnico, por lo que la mayora de las veces no son
fciles de detectar y por si solos no siempre causan danos ni efectos inmediatos
por su sola presencia, siendo as pueden llegar a permanecer activos mucho
tiempo sin que nos percatemos de ello.
24
programa que les sirve de caballo de Troya para que el usuario los instale por
error.
Con todo el riesgo que esto implica, hay una forma simple y totalmente segura de
evitarlo: no acepte archivos ni mucho menos ejecute programas que le hayan
mandado siendo estos sobre todo de procedencia dudosa.
El hecho que se les clasifique como software malvolo en algunos casos, es que
cuando corren, se instalan en el sistema sin necesidad de la intervencin del
usuario y una vez instalados en la computadora, no se pueden visualizar estas
aplicaciones en la lista de tareas en la mayora de los casos.
25
Concluimos esto, recomendando ciertas medidas muy bsicas para estar a salvo
de las puertas traseras y el delicado riesgo para la seguridad que estas
representan. A saber:
5.- Es bueno tener presente que existen virus y troyanos que pueden
aparentar ser amigables (una simple tarjeta de San Valentn), o que
provienen de gente que conoces (como es el caso del gusano Sircan).
Siendo as, no confes en ningn programa ni en nada que recibas hasta
no revisarlo con el Antivirus.
BOMBA LOGICA
26
Este tipo de delito forma parte de los sistemas informticos que realizan ataques
a la parte lgica del ordenador.
Se entiendo por bomba lgica (en ingls denominado time bombs), aquel
software, rutinas o modificaciones de programas que producen modificaciones,
borrados de ficheros o alteraciones del sistema en un momento posterior a aquel
en el que se introducen por su creador.
Los disparadores de estos programas puede ser varios, desde las fechas de los
sistemas, realizar una determinada operacin o que se introduzca un
determinado cdigo que ser el que determine su activacin.
Caractersticas principales:
27
Este ataque est determinado por una condicin que determina el creador
dentro del cdigo.
El cdigo no se replica.
VIRUS
28
memoria RAM de la computadora, aun cuando el programa que lo contena haya
terminado de ejecutarse. El virus toma entonces el control de los servicios
bsicos del sistema operativo, infectando de, manera posterior, archivos
ejecutables que sean llamados para su ejecucin. Finalmente se aade el cdigo
del virus al del programa infectado y se graba en disco, con lo cual el proceso de
replicado se completa.
Las amenazas del sistema y de la red crean una situacin en la que se utilizan
inapropiadamente los recursos del sistema operativo y los archivos del usuario.
En esta seccin vamos a analizar algunos ejemplos de estas amenazas,
incluyendo los gusanos, el escaneo de puertos y los ataques por denegacin de
servicio.
29
entornos (por ejemplo con un nico sistema operativo) en los que existan
mtodos seguros de comparticin. Estos mtodos incluyen la memoria
compartida y los mecanismos de comunicacin interprocesos.
GUSANOS
30
Debido a que los gusanos no tienen que viajar mediante un programa o archivo
"host", tambin pueden crear un tnel en el sistema y permitir que otro usuario
tome el control del equipo de forma remota. Entre los ejemplos recientes de
gusanos se incluyen: Sasser y Blaster.
ESCANEO DE PUERTOS
Usando este mtodo un atacante puede crear una lista de las potenciales
debilidades y vulnerabilidades en un puerto para dirigirse a la explotacin del
mismo y comprometer el host remoto Una de las primeras etapas en la
penetracin / auditoria de un host remoto es primeramente componer una lista de
los puertos abiertos utilizando una o ms de las tcnicas descritas abajo. Una
vez establecida, los resultados ayudaran al atacante a identificar los servicios que
estn corriendo en ese puerto utilizando una lista de puertos que cumplen con el
RFC (la funcin /etc./service in UNIX, getservbyport() automticamente hace
esto) permitiendo comprometer el host remoto en la etapa de descubrimiento
inicial.
Alternativamente, utilizar un escaneo oculto permite evitar ciertos IDS y pasar las
31
reglas del firewall pero el mecanismo de escaneo como packet flags utilizados
para detectar estos puertos puede dejar muchos paquetes cados sobre la red
dando resultados positivos siendo estos falsos. Ms adelante se discutir esto en
la seccin de escaneo FIN de este documento. Enfocndonos ms directamente
en cada una de las tcnicas anteriores, estos mtodos se pueden categorizar en
tipos individuales de escaneo. Veamos un modelo bsico de escaneo incluyendo
un barrido de ping.
DENEGACION DE SERVICIO
32
Se genera mediante la saturacin de los puertos con flujo de informacin,
haciendo que el servidor se sobrecargue y no pueda seguir prestando servicios,
por eso se le dice "denegacin", pues hace que el servidor no de abasto a la
cantidad de usuarios. Esta tcnica es usada por los llamados crackers para dejar
fuera de servicio a servidores objetivo.
33
Inundacin SYN (SYN Floods)
TCP SYN Scanning el protocolo TCP se basa en una conexin en tres pasos
(Three Way Handshake). Pero, si el paso final no llega a establecerse, la
conexin permanece en un estado denominado "semiabierto".
El SYN Flood es el ms famoso de los ataques del tipo Denial of Service,
publicado por primera vez en la revista Under Phrack; y se basa en un "saludo"
incompleto entre los dos hosts.
El Cliente enva un paquete SYN pero no responde al paquete ACK ocasionando
que la pila TCP/IP espere cierta cantidad de tiempo a que el Host hostil responda
antes de cerrar la conexin. Si se crean muchas peticiones incompletas de
conexin (no se responde a ninguna), el Servidor estar inactivo mucho tiempo
esperando respuesta. . La denegacin de servicios se da por que el sistema est
a la espera de que baje el umbral que generalmente es 1 minuto para aceptar
ms conexiones, cada conexin generada por un SYN, tienen un temporizador de
1 minuto, cuando se excede el lmite de tiempo o umbral, se libera la memoria
que mantiene el estado de la conexin y la cuenta de la cola de servicios se
disminuye en 1.
Aqu radica el fallo de TCP: ICMP reporta que el cliente es inexistente, pero TCP
ignora el mensaje y sigue intentando terminar el saludo con el cliente de forma
continua.
Cuando se realiza un Ping a una mquina, esta tiene que procesarlo. Y aunque
se trate de un proceso sencillo, (no es ms que ver la direccin de origen y
enviarle un paquete Reply), siempre consume recursos del sistema. Si no es un
Ping, sino que son varios a la vez, la mquina se vuelve ms lenta... si lo que se
recibe son miles de solicitudes, puede que el equipo deje de responder (Flood).
Es obligatorio que la IP origen sea inexistente, ya que sino el objetivo, lograr
responderle al cliente con un SYN/ACK, y como esa IP no pidi ninguna
conexin, le va a responder al objetivo con un RST, y el ataque no tendr efecto.
El problema es que muchos sistemas operativos tienen un lmite muy bajo en el
nmero de conexiones "semiabiertas" que pueden manejar en un momento
determinado (5 a 30). Si se supera ese lmite, el servidor sencillamente dejar de
responder a las nuevas peticiones de conexin que le vayan llegando. Las
conexiones "semiabiertas" van caducando tras un tiempo, liberando "huecos"
para nuevas conexiones, pero mientras el atacante mantenga el SYN Flood, la
probabilidad de que una conexin recin liberada sea capturada por un nuevo
SYN malicioso es muy alta. Esto ocasiona la lentitud en los dems servicios
34
En la Figura se observa un escenario tpico de un ataque y se observa como la
mquina atacante con la direccin IP 10.1.1.10/24 usa una direccin de broadcast
10.1.1.255 para perpetrar el ataque y para que las mquinas vctima le contesten
las peticiones, no sin antes pasando por todas las direcciones IP de la red,
haciendo ms efectivo el ataque. De esta forma, todas las respuestas individuales
se ven amplificadas y propagadas a todos los ordenadores pertenecientes a la
red amplificndolas y propagndolas consiguiendo una alta efectividad en el
ataque.
35
Ataque LAND (LAND attack)
Este ataque, que est dirigido a aplicaciones vulnerables, bloquea los sistemas o
los vuelve inestables. Los sistemas ms modernos ya no son vulnerables a este
tipo de ataque. Los sistemas ms modernos ya no son vulnerables a este tipo de
ataque.
36
tanto en la red como en el sistema de la vctima. Dependiendo de la relacin
entre capacidad de procesamiento de la vctima y atacante, el grado de
sobrecarga varia, es decir, si un atacante tiene una capacidad mucho mayor, la
vctima no puede manejar el trfico generado.
Modelos de ataques
Cuando el atacante genera el paquete ICMP echo request, este es dirigido a una
direccin IP de broadcast, pero la direccin origen del paquete IP la cambia por la
direccin de la vctima (IP spoofing), de manera que todas las maquinas
intermediarias (maquinas pertenecientes a la red donde se envi el paquete)
responden con ICMP echo reply a la vctima. Como se dijo anteriormente, los
intermediarios tambin sufren los mismos problemas que las propias vctimas.
Es usual dirigir este ataque contra maquinas que ejecutan el servicio echo8 de
forma que se generan mensajes echo de un elevado tamao.
37
BIBLIOGRAFA
38