- D Protección Mínima
- C Protección Discrecional
- B Protección Obligatoria
- A Protección Controlada
Cada división consiste en una o
más clases numeradas, entre más grande sea el número se indica un mayor grado
de seguridad.
En general, un sistema seguro
controlará, a través del uso de características específicas de seguridad, el
acceso a la información, de forma tal, que solamente los individuos autorizados
correctamente, o los procesos que obtienen los permisos adecuados, tendrán
acceso para leer, escribir, crear, modificar o eliminar la información.
Se tienen seis requisitos importantes,
de los cuales cuatro, parten de la necesidad de proporcionar un control de
acceso a la información y los restantes de cómo puede obtenerse una seguridad
demostrable.
Agrandes rasgos, el requisito
número uno, habla hacer cumplir las políticas establecidas para cada evento que
se genera en el sistema o acceder a cierta información.
El requisito número dos habla
sobre el control de acceso por etiquetas, debe estar asociado a los objetos.
Requisito número tres, hace hincapié en la identificación de cada evento
individual, cada acceso debe ser registrado.
El número cuatro, comenta que la
responsabilidad es parte fundamental de cualquier información que se maneje en
el sistema, el proteger cada acción es necesario para lograr tener un sistema
seguro.
Por último el requisito número
seis, comenta que la protección
continua, valida que el sistema esté completamente seguro, debido que se tiene
control sobre actividades o modificaciones no autorizadas por usuarios
desconocidos. El requisito de protección continua tiene implicaciones directas
a través del ciclo de vida de los sistemas.
El propósito del “orangebook” es
desarrollar objetivos que permitan realizar una medición y así poder hacer una evaluación de confianza en los
sistemas informáticos, de tal manera que el usuario pueda tener un sistema de
cómputo para el procesamiento de la seguridad.
Proporcionar un estándar a los
fabricantes en cuanto a la seguridad que deben implementar a los equipos nuevos
y planear con anticipación, permite que el usuario final cuente con un sistema
menos propenso a ataques y cuente con una mayor seguridad. Estas categorías de
seguridad del DoD van desde D (Protección Mínima) hasta A (Protección
Verificada).
D- protección mínima se divide en
una clase, que toma a los equipos que no cumplen los requisitos para una clase
alta de evaluación.
c-Protección discrecional
(necesidad-de-identificación) y, a
través de inclusión de capacidades de auditoria, exige la responsabilidad de
los usuarios de las acciones que realiza.
Las TCB de un sistema de la clase
C1, deben cubrir los requisitos de seguridad discrecional proporcionando la
separación de usuarios y de datos. Incorporar algún mecanismo de control y
acreditación, así como la capacidad de hacer cumplir las restricciones de
acceso de una base individual, es decir, garantizar de una forma convincente a
los usuarios de que sus proyectos o información privada está protegida y evitar
que otros usuarios accidentalmente puedan leer o destruir sus datos.
Los requisitos mínimos para los
sistemas con asignación de la clase C1 son:
- Protección de archivos optativa, por ejemplo Control de Listas de Acceso (ACLs), Protección a Usuario/ Grupo/Público.
- Usualmente para usuarios que están todos en el mismo nivel de seguridad.
- Protección de la contraseña y banco de datos seguro de autorizaciones (ADB).
- Protección del modo de operación del sistema.
- Verificación de Integridad del TCB.
- Documentación de Seguridad del Usuario.
- Documentación de Seguridad del Administración de Sistemas.
- Documentación para Comprobación de la Seguridad.
- Diseño de documentación de TCB.
- Típicamente para usuarios en el mismo nivel de seguridad.
En la C2, los sistemas hacen cumplir más fielmente
un control de acceso discrecional más fino que los sistemas C1, haciendo
responsable individualmente a los usuarios de sus acciones a través de
procedimientos de conexión, revisión de eventos relevantes de seguridad, y el
aislamiento de recursos.
- La protección de objetos puede estar con base al usuario, ej. De un ACL o una base de datos del administrador.
- La autorización para accesar sólo puede ser asignada por usuarios autorizados.
- Protección de reusó de objetos (p.e. para evitar reasignación de permisos de seguridad de objetos borrados).
- Identificación obligatoria y procedimientos de autorización para los usuarios, p.e. contraseñas.
- Auditoria de eventos de seguridad.
- Protección del modo de operación del sistema.
- Agrega protección para autorizaciones y auditoría de datos.
- Documentación de la información como C1 plus al examinar la auditoria de la información.
En la división B, se especifica
que el sistema de protección del TCB debe ser obligatorio, no solo
discrecional. La noción de un TCB que preserve la integridad de etiquetas de
sensibilidad de la información y se utilizan para hacer cumplir un conjunto de
reglas obligatorias del control de acceso, es un requisito importante en esta
división.
Dentro de su clasificación
encontramos los sistemas de la clase B1 requieren todas las características
solicitadas para la clase C2. Además una declaración informal del modelo de la
política de seguridad, de las etiquetas de los datos, y del control de acceso
obligatorio sobre los eventos y objetos nombrados debe estar presente, se debe
tener los siguientes requisitos:
Seguridad obligatoria y acceso por etiquetas a todos los
objetos, ej. archivos, procesos, dispositivos, etc.
Verificación de la Integridad de las etiquetas.
Auditoria de objetos Etiquetados.
Control de acceso obligatorio.
Habilidad de especificar el nivel de seguridad impreso en
salidas legibles al humano (ej. impresiones.).
En los sistemas de clase B2, los TCB deben estar basados en una
documentación formal clara y contar con
un modelo de política de seguridad bien definido que requiera un control de acceso discrecional y
obligatorio, las imposiciones a los
sistemas encontradas en la clase B1, se deben extender a todos los eventos y objetos en sistemas ADP.
Estos sistemas requieren lo
siguiente:
Notificación de cambios del nivel de seguridad
que afecten interactivamente a los usuarios.
- Etiquetas de dispositivos jerárquicas.
- Acceso obligatorio sobre todos los objetos y dispositivos.
- Rutas Confiables de comunicaciones entre usuario y sistema.
- Rastreo de los canales secretos de almacenamiento.
- Modo de operación del sistema más firme en multinivel en unidades independientes.
- Análisis de canales seguros.
- Comprobación de la seguridad mejorada.
- Modelos formales de TCB.
- Versión, actualización y análisis de parches y auditoria. Un ejemplo de estos sistemas operativos es el Honeywell Multics.
En la clase B3 los TCB debe
satisfacer los requisitos de herramientas de monitoreo como un “monitor de
referencia” que Interviene en todos los accesos de usuarios a los objetos, a
fin de ser comprobada, y que sea lo bastante pequeña para ser sujeta al
análisis y pruebas.
Debe de contar también con un
Administrador de Seguridad, los mecanismos de auditoria se amplían para señalar
acontecimientos relevantes de la seguridad, y se necesitan procedimientos de
recuperación del sistema. El sistema es altamente resistente a la penetración.
Los siguientes son requisitos mínimos para los sistemas con asignación de un
grado de clase B3:
- ACL’s adicionales basado en grupos e identificadores.
- Rutas de acceso confiables y autentificación.
- Auditoría de eventos de seguridad. § Recuperación confiable después de baja del sistema y documentación relevante.
- Cero defectos del diseño del TCB, y mínima ejecución de errores.
El hablar de protección
verificada, es hablar sobre la división que se caracteriza por el uso de
métodos formales para la verificación de seguridad y así garantizar que los
controles de seguridad obligatoria y discrecional empleados en el sistema
pueden proteger con eficacia la información clasificada o sensitiva almacenada
o procesada por el sistema.
- Un modelo debe ser identificado y documentado, incluyendo una prueba matemáticas.
- Un FTLS debe incluir las definiciones abstractas de las funciones y de los mecanismos de la dotación física y/o de los firmwares que se utilizan para utilizar dominios separados de la ejecución.
- Se debe demostrar que es constante y consistente con el modelo.
- Muestra informalmente que es consistente con el FTLS.
- Deben de utilizarse técnicas de análisis formal para identificar y analizar los canales secretos.
La A2 en adelante, está hecha
para más altos niveles aunque sus requerimientos aún no han sido definidos formalmente.
El control de acceso discrecional
es un método de restringir el acceso a los archivos basándose en la
identidad de los usuarios y/o los grupos a los que pertenecen. EL DAC es el más común
de los mecanismos de control de acceso que se encuentra en los sistemas
La reutilización de objetos requiere la protección de archivos, memoria y otros
objetos en un sistema auditado de ser accesadas accidentalmente por usuarios
que no tienen acceso autorizado a ellos.
Las etiquetas y el control de
acceso obligatorio son requerimientos separados de la política de seguridad,
pero ambas funcionan juntas. Una etiqueta sensitiva de usuario especifica el
grado, o nivel de confianza, asociado con ese usuario, las etiquetas de usuario
sensitivas es usualmente llamada como certificado
de paso ó "clearance". Una etiqueta sensitiva de archivo especifica
el nivel de confianza que un usuario puede ser capaz de tener al accesar ese
archivo. La integridad de etiquetas asegura que las etiquetas sensitivas
asociadas con eventos y objetos tienen una representación exacta de los niveles
de seguridad de estos eventos y objetos.
Un sistema confiable debe de
asegurar que la información es escrita por el sistema, que la información
cuenta con mecanismos de protección asociados a ella. Dos formas de exportar
información son asignar un nivel de seguridad a los dispositivos de salida ó
escribir etiquetas sensitivas en los datos. Los sistemas valorados como B1 en
adelante deben de proporcionar facilidades de exportación segura Se definen dos
tipos de dispositivos para exportar; multinivel y de nivel simple.
Un dispositivo multinivel, es uno
con la capacidad de escribir información con un número diferente de niveles de
seguridad. El sistema debe soportar una
variedad de especificaciones de niveles de seguridad, desde la más baja
(SIN CLASIFICACIÓN) hasta la más alta (ALTAMENTE SECRETA), permitiendo que un
dato sea escrito en un dispositivo.
Un dispositivo de nivel único es capaz
de escribir información con sólo un nivel particular de seguridad. Usualmente
las terminales, impresoras, dispositivos de cinta y puertos de comunicación
están en la categoría de dispositivos de nivel único. El nivel que se
especifica para un dispositivo depende usualmente de su localización física o
de la seguridad inherente del tipo de dispositivo. Por ejemplo, la instalación
de una red contempla varias impresoras en un número determinado de computadoras
y oficinas. El administrador debe
designar que esas impresoras tengan niveles sensitivos que correspondan al
personal que tiene acceso a dichas impresoras.
El libro naranja es muy claro en
cuanto a los requerimientos de cómo deben de hacerse las etiquetas para las
salidas legibles al humano. Estas incluyen páginas de salida impresa, mapas,
gráficas y otros indicadores. El administrador del sistema debe de especificar
la forma en que las etiquetas van a aparecer en la salida. Por lo regular se
requieren dos tipos de etiquetas: primero, cada salida distinta debe ser
etiquetada, al principio y al final, con etiquetas que representen una
sensitividad general de la salida.
Las etiquetas sensitivas de eventos requieren estados que el sistema
pueda notificar a determinado usuario de algún cambio en el nivel de seguridad
asociado con un usuario durante una sesión interactiva. Este requerimiento se
aplica de los sistemas evaluados B2 en adelante. La idea de las etiquetas sensitivas a eventos es que el
usuario siempre conozca el nivel de seguridad en el que está trabajando. Los
sistemas confiables típicamente despliegan el "clearance" cuando se establece sesión y lo despliegan
nuevamente si el nivel de seguridad tiene algún cambio, o automáticamente a
petición del usuario.
Los dispositivos etiquetados
requieren estados que cada dispositivo físico tenga adicionados en el sistema que
definan niveles mínimos y máximos de seguridad asociados a ellos, y todos estos
son usados para "reforzar las restricciones impuestas por el medio
ambiente físico en el cual el dispositivo está localizado".
El control de acceso obligatorio
es el último requerimiento de la política de seguridad, diferente del control
de acceso discrecional, que autoriza a
los usuarios específicamente, con sus propias preferencias, quien puede y quién
no puede accesar sus archivos, el control de acceso obligatorio pone el control
de todos los accesos como decisiones bajo el control del sistema.
La identificación y la
autentificación es un requerimiento de un sistema de seguridad en todos los
niveles. El libro naranja requiere que la identificación del usuario antes de
ejecutar cualquier tarea que requiera interacción con el TCB. El libro naranja establece que el
password debe ser protegido, pero no dice como, existen dos publicaciones
adicionales por el gobierno de los Estados Unidos que proporcionan sugerencias
concretas:
- The Department of Defense Password Management Guideline (El Libro Verde)
- FIPS PUB 112 - Password Usage
Una ruta segura proporciona un
medio libre de errores, por el cual un usuario puede comunicarse directamente
con un TCB sin interactuar con el sistema a través de aplicaciones y capas del
sistema operativo. Una ruta segura es un requerimiento para sistemas
clasificados como B2 en adelante.
Conforma a las auditorías son los
registros, exámenes y revisiónes de las actividades relacionadas con la seguridad en un sistema confiable. Una
actividad relacionada con la seguridad es cualquier acción relacionada con el
acceso de usuarios, o acceso a objetos. En términos de auditoria, algunas
actividades son llamadas frecuentemente eventos, y una auditoria interna se
llama algunas veces eventos logging.
Los eventos típicos incluyen:
- Logins (exitosos o fallidos)
- Logouts
- Accesos a sistemas remotos
- Operaciones de archivos, apertura, renombrar, eliminación.
- Cambios en los privilegios y atributos de seguridad (cambiar en un archivo la etiqueta sensitiva o el nivel del pase de un usuario).
La auditoria permite funciones
muy útiles de seguridad: Inspección y reconstrucción.
Cada vez que un evento auditable
ocurre, el sistema escribe al final la siguiente información (Ordenada por el
Libro Naranja):
- Fecha y hora de cada evento
- Identificado ID único del usuario que ejecuto el evento
- Tipo de evento
- Si el evento fue exitoso o no
- Origen de la petición (identificador de la terminal)
- Nombre de los objetos involucrados (nombre de (ej. Nombre de los archivos a ser borrados)
- Descripción y modificación a las bases de datos de seguridad
- Niveles de seguridad de los usuarios y objetos (B1 en adelante)
El requerimiento de arquitectura
del sistema tiene el objeto de diseñar
un sistema para hacerlo lo más seguro posible, - sino invulnerable. Así los
sistemas de los niveles bajos (C1, B1 y hasta
B2) no fueron necesariamente diseñados específicamente para seguridad,
ellos soportan principios de diseño de hardware
y sistema operativo, tan bien
como la habilidad de soportar características específicas que quizás son
agregadas a estos sistemas.
La integridad del sistema
significa que el hardware y el firmware
deben trabajar y debe ser probado para asegurar que trabaje adecuadamente, Para
todos los niveles, el libro naranja establece “las características de hardware
y software que deben ser proporcionadas
para ser usadas y periódicamente validadas para la correcta operación del
hardware instalado y los elementos firmware del TCB.
Un canal secreto es una ruta de
información que no se usa ordinariamente para comunicaciones en un sistema, por
los mecanismos normales de seguridad del sistema. Es una vía secreta para
transportar información a otra persona o programa – El equivalente computacional
de un espía que porta un periódico como una contraseña.
La facilidad de la administración
de seguridad es la asignación de un individuo específico para administrar las funciones relacionadas
con la seguridad de un sistema. La facilidad de administración de la seguridad
es muy relacionada con el concepto de
privilegio mínimo, un concepto tempranamente introducido en términos de arquitectura de sistemas. En
el contexto de seguridad, el privilegio mínimo significa que el usuario de un
sistema debe tener el menor número de permisos
y la menor cantidad de tiempo – únicamente el necesario para desempeñar
su trabajo.
La recuperación confiable asegura que la seguridad no ha sido violada
cuando se cae un sistema o cuando cualquier otra falla del sistema ocurre La
recuperación confiable actualmente involucra dos actividades: prepararse ante
una falla del sistema y recuperar el sistema. La principal responsabilidad en
preparación es respaldar todos los
archivos del sistema crítico con una
base regular. El procedimiento de recuperación puede ser con mucho, esforzarse por restaurar solo un día o dos de
procesamiento de información.
El diseño de especificaciones y
la verificación requiere una comprobación de que la descripción del diseño para
el sistema sea consistente con las políticas de seguridad del sistema. A cada
nivel de seguridad empezando desde el B1, el libro naranja. Requiere un
incremento del modelo formal
(precisamente matemático) de las políticas del sistema de seguridad que permite
se incrementen las pruebas de que el diseño del sistema es consistente con su
modelo.
El libro naranja tiene un
substancial interés en probar las características de seguridad en los sistemas
a evaluar. Las pruebas de seguridad aseguran que los requerimientos están relacionados
con los requerimientos de pruebas de documentación. El equipo de evaluación
del NTSC está comprometido con sus
pruebas.
Estos son los dos tipos básicos de pruebas de seguridad:
- Prueba de mecanismos
- Prueba de interfaz.
La prueba de mecanismos
significa probar los mecanismos de seguridad, estos mecanismos incluye
control de acceso discrecional, etiquetado, control de acceso obligatorio,
Identificación y autentificación, prueba de rutas, y auditoria. La prueba de
interfaz significa el probar todas las rutinas del usuario que involucren
funciones de seguridad.
Aplicación a los niveles de seguridad
- Identificación y Autentificación
- Roles: Algunos ejemplos de roles serían los siguientes: programador, líder de proyecto, gerente de un área usuaria, administrador del sistema, etc.
- Transacciones: solicitando una clave al requerir el procesamiento de una transacción determinada.
- Limitaciones a los Servicios: restricciones que dependen de parámetros propios de la utilización de la aplicación o preestablecidos por el administrador del sistema.
- Modalidad de Acceso
- Ubicación y Horario: El acceso a determinados recursos del sistema puede estar basado en la ubicación física o lógica de los datos o personas. En cuanto a los horarios, este tipo de controles permite limitar el acceso de los usuarios a determinadas horas de día o a determinados días de la semana.
- Administración.
Este libro tiene normas muy especificas para regular y establecer una seguridad informática que permita establecer "barreras" a intrusos, y tener bien delimitado la información que se tiene y se maneja en una empresa, aunque es muy difícil implementarla al 100%, debido a tantas especificaciones y tantas peculiaridades que se vuelven tediosas para el administrador, pero es de suma importancia el aplicar estándares que permitan resguardar nuestra información , ya que puede ser utilizada para un sin fin de actividades que pueden dañar la integridad de la empresa así como de uno mismo.
No hay comentarios:
Publicar un comentario