Modelos de Seguridad PDF
Modelos de Seguridad PDF
Modelos de Seguridad PDF
por
ndice general
1. Polticas y Modelos de Seguridad Introduccin . . . . . . . . . . . . . . . . . . . La necesidad de las polticas . . . . . . . . . . Las polticas de seguridad . . . . . . . . . . . Aplicacin - Polticas Especcas . . . . . . . 1.4.1. Polticas de condencialidad . . . . . . 1.4.2. Polticas de integridad . . . . . . . . . 1.4.3. Grupo de polticas . . . . . . . . . . . 1.4.4. Polticas de conicto de intereses . . . 1.5. Sistema de polticas . . . . . . . . . . . . . . 1.6. Ejemplos de polticas . . . . . . . . . . . . . . 1.7. Uso de funciones en materia de polticas . . . 1.8. Polticas Estndares . . . . . . . . . . . . . . 1.9. Normas para las polticas . . . . . . . . . . . 1.10. Polticas de lenguajes . . . . . . . . . . . . . . 1.11. Polticas en conictos . . . . . . . . . . . . . 1.12. Problemas con las polticas no apropiadas . . 1.13. Propiedades e interacciones de las polticas . 1.14. Polticas y diseo de sistemas de seguridad . 1.15. Modelos de seguridad . . . . . . . . . . . . . 1.15.1. La matriz de acceso . . . . . . . . . . 1.15.2. Control de Acceso basado en funciones Based Access Control) . . . . . . . . . 1.15.3. Autorizacin implcita . . . . . . . . . 1.15.4. Los modelos multinivel . . . . . . . . . 1.16. El modelo de Clark-Wilson . . . . . . . . . . 1.17. Modelos y diseo de sistemas de seguro . . . 1.18. El modelo Monitor de Referencia . . . . . . . iii 1.1. 1.2. 1.3. 1.4. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . RBAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . (Role . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1 2 3 5 5 5 6 6 6 7 9 9 10 10 10 11 11 12 13 13 16 17 18 21 21 22
iv
NDICE GENERAL
25 29
ndice de guras
1.1. 1.2. 1.3. 1.4. 1.5. The authorization pattern. . . . . . . . . . The RBAC pattern. . . . . . . . . . . . . Multilevel security pattern. . . . . . . . . Class diagram for the reference mon . . . Sequence diagram for enforcing security of . . . . . . . . . . . . . . . . . . . . . . . . requests. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 17 20 24 24
Captulo 1
Los requerimientos de seguridad que involucran las tecnologas de la informacin, en pocos aos han cobrado un gran auge, y ms an con las de carcter globalizador como los son la de Internet y en particular la relacionada con la Web, la visin de nuevos horizontes explorando ms all de las fronteras naturales, situacin que ha llevado la aparicin de nuevas amenazas en los sistemas computarizados [1]. Ante este esquema las instituciones se ven inmersas en ambientes agresivos donde el delinquir, sabotear, robar se convierte en retos para delincuentes informticos universales conocidos como Hackers, Crakers, etc., es decir en transgresores. Conforme las tecnologas se han esparcido, la severidad y frecuencia las han transformado en un continuo riesgo, que obliga a las entidades a crear medidas de emergencia y polticas denitivas para contrarrestar estos ataques y transgresiones. De esta manera, las polticas de seguridad en informtica emergen como el instrumento para concientizar a los miembros de las instituciones acerca de la importancia y sensibilidad de la informacin y servicios crticos, de la 1
superacin de las fallas y de las debilidades, de tal forma que permiten a la institucin cumplir con su misin. El proponer estas polticas de seguridad requiere un alto compromiso con la institucin, agudeza tcnica para establecer fallas y deciencias, constancia para renovar y actualizar dichas polticas en funcin del ambiente dinmico que nos rodea.
1.2.
Las polticas de alto nivel son pautas sobre la seguridad de la informacin [2].Cada institucin tiene un conjunto de polticas de negocio, explcitas o implcitas, de las cuales algunas son las polticas de seguridad. Sin polticas es imposible la creacin de sistemas seguros, no sabremos lo que debemos proteger y cunto esfuerzo se debe poner en materia de seguridad. Una poltica de seguridad se divide en los estados de un sistema autorizado y no autorizado. Eso signica, que ni siquiera podemos hablar de seguridad sin polticas porque no sabremos lo que dice que debemos evitar. La necesidad y el valor de las polticas han sido reconocidos recientemente, y ahora hay incluso una conferencia anual dedicada a las polticas [3]. Tambin existen paquetes de polticas [4], software para la generacin automtica de la poltica [5], e incluso un libro se ha dedicado a este tema [6]. La institucin de polticas de seguridad incluye las leyes, normas y prcticas que regulan cmo una institucin gestiona y protege los recursos. Hay polticas globales que afectan a todos los aspectos del negocio y polticas ms especializadas que se reeren a la divisin de las funciones bsicas. Algunas de estas polticas pueden ser impuestas o sugeridas de fuentes externas, por ejemplo, la legislacin, el gobierno o las normas de la industria. Hay algunas cuestiones interesantes acerca de quin debe denir la poltica exterior o las normas de lo que una institucin debe seguir. Por ejemplo, todos los bancos como lo exige la ley del gobierno de EE.UU., deben enviar a sus clientes una declaracin de su poltica de privacidad, indicando la informacin personal que recogen, cuales comparten, y detalles similares. Los sistemas informticos de la institucin deben hacer cumplir estas polticas que se ven reejas en sus mecanismos. El modelo de capas se puede utilizar para describir cmo se estructuran las polticas, pasando de las polticas de
las instituciones del ms alto nivel para permitir a las polticas especcas de los usuarios que acceden a los datos, las polticas de encriptacin, etc.
1.3.
A travs de los aos se han desarrollado varias polticas como las ms convenientes para crear o congurar sistemas de seguridad. Se enumeran algunas de ellas aqu (ms detalles se pueden encontrar en [2]): Sistemas Abiertos / Cerrados : En un sistema cerrado, nada es accesible a menos que se autorice expresamente; en un sistema abierto o institucin todo es accesible a menos que est explcitamente denegado. Es evidente que un sistema seguro debe ser cerrado. En las instituciones en que la seguridad de la informacin es muy importante, por ejemplo, los bancos, utilizan una poltica cerrada. En cambio, instituciones cuyo objetivo es la difusin de informacin, tales como bibliotecas, usan polticas abiertas. Menos privilegio (lo que necesita conocer) : Las personas o cualquier entidad activa que necesita acceder a recursos computacionales deben ser autorizadas slo para tener acceso a los recursos que necesitan para desempear sus funciones. Esta poltica suele combinarse con la poltica de sistemas cerrados. Maximizar el intercambio : Hay instituciones que quieren hacer a la informacin lo ms accesible posible [7]. Aqu puede ser la informacin privada o de otra ndole, pero la idea es maximizar el uso de la misma. Autorizacin : Las normas explcitas deben denir quin puede utilizar qu recursos y cmo. Las autorizaciones podrn permitir o denegar el acceso y podrn imponer las condiciones de acceso. Obligacin : Estas polticas denen qu debe o no debe realizarse en un conjunto de datos [8]. Separacin de los derechos : Las funciones crticas deben ser asignadas a ms de una persona o sistema. Por ejemplo, la persona que decide la compra de un producto no es la misma que la que en realidad hace los pedidos del producto.
Auditoria : Una auditoria debe llevar un registro de lo que se hizo y en qu momento. Esto ayudar a prevenir futuros ataques y es importante para nes de rendicin de cuentas. Control Centralizado / Descentralizado : En un sistema descentralizado sus unidades o divisiones tiene autoridad para denir sus propias polticas o mecanismos de aplicacin en la medida en que no violen las polticas globales. Propiedad y administracin : En muchos sistemas el usuario cree que algunos datos se convierte en su propiedad y tiene todos los derechos sobre el mismo. Una poltica administrativa separa la administracin de los datos de su uso. La propiedad puede violar la separacin de los derechos cuando el usuario de la informacin tambin es su administrador, la institucin de datos entra en un conicto de intereses, pero es aceptable para los archivos personales. La propiedad no es una buena poltica de seguridad de los sistemas institucionales a pesar de que se utiliza comnmente en la mayora de sistemas operativos. Rendicin de cuentas individuales : Las personas o los procesos deben ser identicados y sus actuaciones grabadas y revisadas. Roles : Los roles implican un grupo de derechos que se le da a los usuarios de acuerdo a sus funciones. Los derechos de los roles podran seguir las polticas de menor privilegio. Nombre o nmero dependiendo de su control de acceso : El acceso de control est designado por su nmero o por las clases incluidas en sus instancias. Contenido -dependiendo del control de acceso-: El acceso a los datos depende de los requerimientos de los archivos especcos. Contexto -dependiendo del control de acceso-: El acceso a los datos depende de que otra informacin tambin la requiere; por ejemplo, uno no puede buscar los salarios y los nombres a la vez. Otra interpretacin de esta poltica se basa en la decisin de acceso del sistema o en el estado en que se encuentra el trabajo. Historia -dependiendo del control de acceso-:Se considera todos o subgrupos de requerimientos para la decisin de acceso.
1.4.
Las polticas se aplican a cualquier sistema seguro. Algunas aplicaciones requieren polticas ms especcas, por ejemplo, los militares ponen ms nfasis en el secreto, mientras que la ocina jurdica est ms interesada en la integridad.
1.4.1.
Polticas de condencialidad
Clasicacin de documentos: Los documentos son clasicados en funcin de la sensibilidad de su informacin. A las personas se les da autorizaciones. La poltica dene una relacin entre la clasicacin y las autorizaciones. Por ejemplo, el juego de las clasicaciones pueden ser los niveles jerrquicos: secreto top, secreto, condencial, pblico, y un usuario habilitado para un nivel dado puede leer todos los documentos en su nivel o por debajo. Categoras: Denen particiones verticales de los niveles, por ejemplo, el Ejrcito, la Armada. Ahora, no slo la clasicacin debe ser adecuada para leer un documento, sino tambin el usuario debe coincidir con la categora o estar incluida en la categora del documento. Originator controlled (ORCON): Un documento slo se libera a las personas o unidades que estn en una lista especca hecha por el inventor. Acceso a lo total: Los usuarios estn autorizados a leer slo los valores de los datos agregados, por ejemplo, el promedio de los salarios, el promedio de calicaciones del estudiante. Estas polticas son particularmente importantes cuando se trata de la privacidad de las personas.
1.4.2.
Polticas de integridad
La integridad de los documentos : Un documento no puede ser modicado o slo se puede registrar las modicaciones. Cambio limitado : Los datos slo se pueden modicar en la forma prescrita.
1.4.3.
Grupo de polticas
Acciones autorizadas : Las personas slo pueden realizar acciones para las que fueron autorizadas. Rotacin de los derechos: Una tarea no debe ser realizada siempre por la misma persona. Operacin de la secuenciacin: Los pasos de algunas tareas deben llevarse a cabo en un orden especco.
1.4.4.
Poltica de Muralla: La informacin se agrupa en clases de conicto de intereses y a una persona se le permite el acceso a la mayora de un conjunto de informacin de esa clase. Conicto de roles : Un usuario no puede tener dos funciones que pueden implicar un conicto de intereses.
1.5.
Sistema de polticas
La mayora de estas polticas pueden aplicarse tambin a bajo nivel, a algunos aspectos del sistema. Por ejemplo, un proceso debe ejecutarse con la menor cantidad de privilegios que necesita para desempear sus funciones. Otras polticas de sistema denen el uso especco de algn sistema, por ejemplo, una cuenta de usuario / contrasea [5], en la poltica se determinan aspectos tales como la longitud de las contraseas, que caracteres pueden tener o no, y la frecuencia con que debe ser cambiada. Se pueden denir polticas para el diseo y el uso de cualquier aspecto de un sistema informtico. Un ejemplo de separacin de servicio en estos niveles es la separacin de la aplicacin de una regla a partir de la autorizacin de almacenamiento y mantenimiento de las normas. Algunas de las polticas del sistema proceden directamente de polticas similares en un nivel ms alto, otros se utilizan para controlar aspectos especcos de la arquitectura correspondiente al nivel. Moett y Sloman [9] clasican las polticas de sistemas de seguridad en tres niveles:
Polticas generales: Estas se aplican a cualquier institucin. Ejemplos de ello son el control de acceso a la administracin para la seguridad de los administradores. Polticas especca: Estas se reeren a organizaciones especcas, por ejemplo, haciendo hincapi en la integridad y en la condencialidad. Reglas de acceso: Dene especicaciones para el acceso a recursos determinados. Un error comn es denir las polticas de bajo nivel sin utilizar polticas de alto nivel como referencia. Por ejemplo, Visa requiere que los comerciantes en lnea que utilizan sus tarjetas: instalaen un cortafuegos, mantengan los parches de seguridad actualizados, cifren datos transmitidos y almacenados, etc. Estas polticas son demasiado detalladas para ser ecaces y son restrictivas al que las utiliza, ya que no se basan en polticas de ms alto nivel. Algunas polticas se pueden aplicar a varios sistemas, por ejemplo: Aislamiento o contencin: Un sistema debe estar aislados de los sistemas externos, un proceso debe ser aislado de otros procesos. Compartir el control: Recursos o informacin deben ser compartidos por los procesos o sistemas de forma controlada, sin perjuicio de las autorizaciones. Sistemas sin memoria: Un programa no debe tener ningn vestigio de sus ejecuciones pasadas. Por ejemplo, un programa para calcular los impuestos no deben tener ninguno de los valores que ha utilizado en el pasado. En general, el aislamiento y la participacin en el control se excluyen mutuamente cuando se aplica a un proceso especco, pero se pueden combinar cuando se habla de un conjunto de procesos, que puede ser aislado en su conjunto, pero podr compartir recursos entre ellos.
1.6.
Ejemplos de polticas
Muchas polticas comunes se reeren a aspectos de autorizacin. Las autorizaciones denidas deben ajustarse a las necesidades de la aplicacin. Por
ejemplo, Anderson menciona cmo en el Reino Unido una ocina del gobierno trat de imponer la poltica de mltiples niveles en los sistemas mdicos y no funcion porque no encajaba con los requisitos; pacientes que quieren controlar el uso de sus registros, a veces esto no se permite en el modelo multinivel. Lo siguiente es un posible conjunto de las polticas de un sistema universitario, asumiendo tambin la poltica de un sistema cerrado: Un instructor puede ver toda la informacin sobre el curso que est enseando. Un instructor puede cambiar las calicaciones de los estudiantes en el curso en que enseanza. Un estudiante puede ver sus calicaciones del curso que est realizando. Un director de departamento puede aadir o suprimir cursos en su departamento. Los miembros del profesorado puede acceder a informacin sobre s mismos. Un estudiante puede inscribirse en un curso. Un director de departamento puede ver informacin sobre su departamento y pueden cambia la informacin sobre profesores y cursos. Un decano puede ver la informacin de todos los departamentos en su universidad o facultad. Algunas polticas pueden ser muy complejas y dependen de los valores de las variables involucradas. Un ejemplo de poltica compleja [10]: Un usuario puede ver los registros de cada empleado que supervisa si el usuario tiene un sueldo mayor que los dems empleados. La autorizacin se aplica utilizando las polticas y normas de autorizacin gestionadas por medio de algn sistema de administracin de seguridad. Debido a esto, algunos proveedores, por ejemplo, Microsoft y Sun, sus normas se reeren a s mismas como polticas. Las polticas pueden referirse a mltiples polticas, por ejemplo [10]: a s mismas como polticas: Un plan de vuelo se puede clasicar si la lista de pasajeros incluye a funcionarios con nombre especca.
Un plan de vuelos clasicados sin clasicar puede ser una vez que el vuelo se ha completado.
1.7.
Es importante denir las funciones con respecto a la informacin producida o utilizada en una institucin o el sistema. Algunas posibles funciones con respecto a los documentos son: Fuente : La persona que emite un documento. Autorizador: La persona que controla el acceso sobre el documento. Depositario : La persona que guarda el documento de control y su uso. Usuario : La persona que lee o modica el documento. Auditor: La persona que chequea las acciones, resultados, y los controla. Tambin se puede denir las funciones apropiadas para las personas de acuerdo a sus funciones de trabajo y asignar los derechos de acuerdo con estas funciones, por ejemplo, gerente, secretaria, estudiante, y el instructor. En el ejemplo anterior de la universidad, los papeles utilizados son el instructor, estudiante, profesor, secretario, director de departamento y decano. Cada funcin puede tener algunos subroles, por ejemplo, un profesor puede ser un instructor de una tesis, un miembro del comit de departamento, y un investigador.
1.8.
Polticas Estndares
En los EE.UU. la primera institucin gubernamental a cargo de las polticas de seguridad fue el Departamento de Defensa. Se public un documento de referencia deniendo los diferentes niveles de seguridad. Este documento (conocido como el Libro Naranja) enumera una serie de requisitos para sistemas de seguridad que pueden ser considerados como polticas de evaluacin de la seguridad. Ms tarde, el Instituto Nacional de Estndares y Tecnologa (NIST) ha desarrollado un conjunto de documentos conocidos como los Criterios Comunes [11]. Otras polticas se han denido por ECMA y la ISO. Las polticas para aplicaciones especializadas, se han denido:
10
La informacin mdica: BMA en el Reino Unido y la HIPAA en los EE.UU. La informacin nanciera: La Ley Sarbanes - Oxley de los EE.UU.
1.9.
El Modelo de Poltica del Ncleo de Informacin (PCIM) es un modelo de poltica para ampliar el Modelo Comn de informacin (CIM), desarrollado por el Grupo de Tareas de gestin distribuida (DTMF) y la Poltica de grupo de trabajo IETF . La CIM dene objetos genricos que incluyen sistemas, elementos administradores del sistema, elementos fsicos y lgicos, y los servicios. Se dene una poltica de Estado y sus componentes, condiciones y acciones. Una poltica de Estado es la forma <condition set> hacer <action list>. Las normas de poltica pueden ser simples o grupales (un patrn compuesto). Las condiciones y acciones pueden ser parte de normas especcas o ser almacenados en los repositorios de uso comn por varias normas. El uso de repositorios es un aspecto de la aplicacin, que no debera haber sido mezclada con la estructura de la regla lgica. El PCIM tambin ofrece modelos detallados de las condiciones y acciones.
1.10.
Polticas de lenguajes
IBM ha desarrollado una Poltica de Lenguaje Fiduciario. Este usa XML para denir los criterios de asignacin de clientes a las funciones y la autorizacin de recursos. Las normas no pueden ser heredadas y tienen otras restricciones [12].
1.11.
Polticas en conictos
Es posible que los objetos a que se reere una poltica se superpongan con los de otra poltica. Por ejemplo, una poltica puede indicar que un objeto sea accesible a un usuario, mientras que otra poltica puede negarlo.
11
En estos casos el conicto puede resolverse mediante polticas tales como permisos tienen prioridad, negaciones tienen prioridad, o mediante la adicin explcita a las prioridades de cada Estado.
1.12.
Un ejemplo de un caso real ilustra lo que sucede cuando las polticas no se denen o no se aplican [13]. Un ex-empleado de Global Crossing Holdings Ltd. Descontento con esta, coloc numerosos nombres, SSN, y fechas de nacimiento de empleados de la empresa en su sitio web. La empresa haba permitido que todos los desarrolladores de software tengan pleno acceso de lectura a la informacin sobre los empleados y el cliente, el sistema de facturacin era accesible para leer y escribir sobre un gran nmero de empleados. El primer problema fue la no aplicacin de la necesidad de conocer la poltica, no era necesario que los desarrolladores de software tengan acceso a los datos operativos. El segundo problema fue similar, el acceso a la informacin de facturacin debera haberse limitado slo a aquellos que tenan una necesidad de funciones de su trabajo, es decir, la falta de conocimiento de roles para que el acceso se basaba en estos. Aparentemente no tenan un sistema cerrado.
1.13.
Algunas polticas pueden ser representadas formalmente con el uso de modelos como se muestra a continuacin, mientras que otros en su mayora se describen con palabras. La lgica difusa se ha utilizado para hacer las polticas de palabras ms precisas [14]. Un buen conjunto de polticas pueden ser reutilizable, como lo demuestra el hecho de que existen polticas de preempaquetados [15]. Todas las polticas aplicadas en un sistema interactan unas con otras. Idealmente, deberan colaborar o convergen [14]. A veces pueden superponerse, lo que puede dar lugar a la redundancia innecesaria. La peor situacin es cuando las polticas entran en conicto entre s, porque esto puede dar lugar a vulnerabilidades de seguridad [8]. Por ejemplo, la privacidad puede entrar en conicto con la rendicin de cuentas. El uso transnacional de los datos a menudo resulta en conictos de poltica. Los sistemas distribuidos requieren
12
la coexistencia de muchas polticas y las metapolticas son necesarias para coordinar las mismas [16].
1.14.
Una vez que tenemos una lista de las amenazas a nuestro sistema podemos decidir cules de estas amenazas son importantes y cmo podemos evitarlas, de acuerdo con las polticas de la institucin, es decir, las polticas que guiarn la seleccin de los mecanismos especcos que necesitamos para poner n a las amenazas. Por ejemplo, si el secreto es importante, tenemos que protegerlo contra virus o caballos de Troya que puede comprometerlo. Las polticas son tambin importantes para la evaluacin de un sistema seguro, si se aplica a un sistema sus polticas, ser seguro para nuestros propsitos. Un sistema complejo deber tener mltiples polticas de apoyo, incluyendo una variedad de polticas para el control de acceso [17]. Las polticas de seguridad deberan reejarse en los mecanismos de seguridad utilizados en los distintos niveles de la arquitectura. Los mecanismos de ms bajo nivel deben aplicar las polticas denidas por los de alto nivel. La mayora de los sistemas comerciales no aplican las polticas descritas anteriormente, por ejemplo, en Unix un archivo creador se convierte en su administrador y usuario, esto viola la poltica de separacin de servicio. Tambin es importante denir las polticas de seguridad en un contexto, por ejemplo, un sistema especco o nivel. Cuando tenemos las jerarquas de las polticas que pueden tener conictos, es importante resolverlos antes de continuar con el diseo ms detallado. En este momento podemos considerar los casos de uso del sistema para denir los derechos que los usuarios deben tener para poder llevar a cabo sus funciones [18]. Los casos de uso pueden ser ampliados con la declaracin de nuevas polticas. Algunas polticas de seguridad pueden ser ms precisas mediante la utilizacin de modelos semi-formales o formales. Un modelo nos permite analizar las propiedades de seguridad y es la base para el diseo del sistema.
13
1.15.
Modelos de seguridad
Los modelos de seguridad son ms precisos y detallados que la expresin de las polticas y se utilizan como directrices para crear y evaluar sistemas. Por lo general, pueden describirse de manera formal o semi-formal. Los modelos pueden ser obligatorios o discrecionales. En un modelo discrecional, los titulares de derechos pueden ser autorizados a transferir en su discrecin. En un modelo obligatorio slo papeles designados estn autorizados a conceder derechos y los usuarios no pueden transferirlos. Una clasicacin divide a los modelos ortogonales en los que se basan en la matriz de acceso, acceso basado en funciones de Control, y los modelos multinivel. Los dos primeros son modelos de control de acceso, mientras que los ltimos son intentos de un control de ujo de informacin. Los modelos obligatorios y discrecionales pueden ser combinados con el de matriz de acceso y el de modelos multinivel.
1.15.1.
La matriz de acceso
Aunque se present como un modelo para el funcionamiento de los sistemas de seguridad [19], la matriz de acceso (AM) es un modelo de seguridad que se pueden aplicar a cualquier sistema. En su forma inicial, dene un modelo discrecional, pero puede ser limitado para que sea un modelo obligatorio. Se puede controlar tanto la condencialidad como la integridad. El modelo dene un conjunto de sujetos S (requieren entidades), un conjunto de objetos protegidos O (las entidades lo solicitan), y un conjunto de tipos de acceso T (la forma en que el objeto se puede acceder). En un sistema operativo, los temas son los procesos, los objetos son los recursos del sistema, y los tipos de acceso suelen ser leer, escribir y ejecutar. En un DBMS, los temas son los usuarios, los objetos son elementos de base de datos, y los tipos de acceso son recuperar, actualizar, insertar y borrar. En los sistemas orientados a objetos, los objetos protegidos son las clases o los objetos y los tipos de acceso son la clase de operaciones (mtodos). Una combinacin (sujeto, objeto protegido, tipo de acceso) o (s, o, t) es una norma de autorizacin. Un modelo para describir las normas de autorizacin se da en la gura 1.1 de la pgina 14. Un amplio modelo de acceso puede incluir tambin: un predicado, una
14
Subject id
Authorization_rule
ProtectionObject id
Figura 1.1: The authorization pattern. condicin, una copia de la bandera, un autorizador. El predicado dene el contenido que dependen las limitaciones en el acceso, la condicin establece una condicin que debe ser cierto en el caso de la norma a aplicar (un guardia), si la copia bandera en la autoriza al objeto de la norma de conceder el derecho a otros usuarios, y el autorizador indic que ha realizado esta autorizacin. En este caso, la autorizacin de la regla tiene la forma (a, s, o, t, p, c, f). Los sistemas de bases de datos generalmente utilizan un subconjunto (s, o, t, p). En la matriz original de Lampson [19], tena el concepto de propietario, que, como hemos discutido anteriormente, es una violacin del principio de separacin de servicio. Tena tambin el concepto de controlador, la denicin de derechos especiales de un proceso sobre el otro. La matriz de Lampson y su extensin [20], incluyen las operaciones de modicar la matriz y permiten la propagacin de los derechos. Llamamos a estas operaciones administrativa de operaciones, ya que normalmente seran utilizadas por un administrador de seguridad. Estos incluyen: transfer{t/t*} to M(s,o)-la transferencia puede ser destructiva o no, dependiendo de la poltica. grant{t/t*} to M(s,o) una subvencin en tanto otorgante y el conce-
15
sionario tiene derecho despus de la concesin. delete t from M(s,o) se elimina el derecho de un sujeto. read M(s,o)- inspeccin del derecho de un sujeto por un objeto. create object o delete object o create subject s delete subject s Harrison, Ruzzo y Uhlman [21], ampliaron y formalizaron este modelo (modelo de la Dependencia de Derechos Humanos), para demostrar seguridad. La principal diferencia entre este modelo y la matriz de acceso descrito anteriormente es la forma en que la matriz es cambiada. Utilizan muchas de las mismas operaciones, pero aaden un conjunto de comandos de la aplicacin a estas operaciones. Un comando tiene la estructura: Command c(x1, x2, .xk) //the xs stand for s or o if t1 in M(s1,o1) and if t2 in M(s2,o2) and .. if tm in M(sm,om) then op1,op2,., opn end En particular, se demostr que el problema de seguridad para el acceso a la matriz no est resuelto. Esto signica que a partir de un estado inicial, donde un sujeto s no tiene derecho sbre un objeto o, no es posible decidir si s puede obtener el derecho en un determinado nmero de pasos. Algunas variaciones de la matriz de acceso se han propuesto para tratar de obtener un modelo en el que la seguridad es resuelta. Sabemos que en un simple modelo, el recorrido de concesin [22], la seguridad es lograda, el problema es encontrar algo entre tener acceso a la concesin
16
y a la matriz de que la seguridad sigue siendo alcanza. Un enfoque ms prctico es utilizar una versin obligatoria de la matriz de acceso, tales como RBAC, donde en general los usuarios no pueden transferir sus derechos. Una aplicacin de la matriz de acceso debe tener una manera de almacenar adecuadamente la autorizacin de las normas, interceptar las peticiones del usuario o el programa, para luego comparar la solicitud de acceso a la matriz para decidir si otorgarlo o no. Este es el interceptor de monitor de referencia. Un patrn del monitor de referencia da al nal del captulo y se ilustra el modelo utilizado para describir los patrones en la literatura estndar. Normalmente, una peticin (s, o , t ) es comparada por el monitor de referencia con las normas de acceso. Si hay una (s, o, t), el acceso es validado y se ha completado la solicitud, de lo contrario la solicitud es denegada. Las polticas especiales son necesarias cuando un sujeto o un objeto puede implicar otros, lo que se discute en la seccin de autorizacin implcita. Otra consideracin es cmo decidir cuando hay predicados involucrados.
1.15.2.
RBAC puede considerarse como una variacin de la matriz de acceso, donde los sujetos slo pueden ser funciones. Un rol corresponde a un trabajo o funciones dentro de un puesto de trabajo, por ejemplo, un profesor puede tener las funciones de profesor, investigador, consejero, presidente de tesis, y otros. Los derechos se asignan a las funciones, no a los individuos. Si los usuarios son asignados a las funciones y los derechos slo dado por un administrador de este tipo se convierte en un modelo de carcter obligatorio. RBAC convenientemente puede aplicar las polticas de mnimos privilegios, y la separacin de funciones. Menos privilegios pueden ser implementados mediante la asignacin a cada rol, slo los derechos que necesita para desempear sus funciones. La separacin de funciones puede ser implementada a travs de roles mutuamente excluyentes. Un patrn para RBAC se muestra en la gura 1.2 de la pgina 17 [23]. Este modelo utiliza tambin el concepto de perodo de sesiones para limitar an ms los derechos utilizados en un momento dado y para hacer cumplir la separacin de servicio. Una manera de hacer cumplir la poltica de mnimos privilegios es asignar derechos a las funciones de casos de uso [18]. Los casos de uso se utilizan
17
MemberOf Group *
* User 1
MemberOf
*
* * Role * *
AuthorizationRule
ProtectionObject
Composite Role
Simple Role
Activated From
Right
Subset WorksOn
* * Session
AdminRole
AdminRight
Figura 1.2: The RBAC pattern. para denir un sistema con todos los accesos necesarios para sus funciones; la unin de los derechos para un rol en todos los casos de uso son sus derechos necesarios. Las funciones pueden ser estructuradas (como se muestra en el patrn de la gura 1.2 de la pgina 17), y pueden ser denidas las diferentes polticas de derechos de herencia [24] [25]. Una buena cantidad de material sobre RBAC se puede encontrar en las pginas del NIST, o el Laboratorio de Tecnologa de Seguridad de la Informacin en la Universidad George Mason [26].
1.15.3.
Autorizacin implcita
Para mayor comodidad podemos necesitar en el grupo o la estructura de los temas, la proteccin de objetos, y algunos tipos de acceso de tal manera que pueda implicar a otros en algunos pedidos de la estructura. En este caso, un componente puede ser la regla implcita en otra norma y esto debe tenerse en cuenta a la hora de evaluar el acceso. El concepto de la autorizacin implcita se introdujo en [27] y posteriormente se ha aplicado en algunos proyectos de investigacin y se utilizan en las ltimas versiones del sistema operativo Windows (a partir de NT versin 4.0).
18
y. NET componente autorizacin. Asimismo, se ha aplicado a bases de datos orientadas a objetos, donde los derechos de acceso pueden ser heredados a lo largo de la generalizacin o agregacin de jerarquas.
1.15.4.
Este tipo de modelo corresponde a las mltiples polticas en que los datos se clasican en niveles de sensibilidad y los usuarios tienen acceso de acuerdo con sus autorizaciones. Debido a la forma del control de seguridad tambin han sido llamados modelos de ujo de datos, que permite controlar el ujo de datos entre los niveles. Estos modelos se han formalizado en tres formas diferentes: El modelo de La Bell-Padula: Destinados a controlar las fugas de informacin entre los niveles. El modelo de Biba: Que controla la integridad de los datos. El modelo de celosa: Generaliza los niveles parcialmente ordenados de los modelos anteriores utilizando el concepto de matemtica de celosas.
Modelo de condencialidad La Bell - Padula Este es un modelo de condencialidad. Que clasica los temas y datos en niveles de sensibilidad. Son ortogonales estos niveles, los compartimientos o categoras estn denidos, y corresponden a las divisiones o agrupaciones dentro de cada nivel. La clasicacin, C, de los objetos de datos dene su sensibilidad. Del mismo modo, los usuarios o temas en general tienen sus niveles. En cada nivel superior de acceso de la matriz se va renando el control de acceso. Un nivel de seguridad se dene como un par (nivel de clasicacin, conjunto de categoras). Un nivel de seguridad domina otro si y slo si su nivel es mayor o igual que las otras categoras y su nivel incluye las otras categoras. Dos propiedades, conocidas como no leer y no escribir, denen un ujo seguro de informacin: Propiedad de seguridad simple (ss): Un sujeto S puede leer un
19
objeto O slo si su clasicacin domina la clasicacin del objeto, es decir, C (s) => C (o). Esta es la no-lectura de la propiedad. *- Propiedad: Un sujeto S que puede leer un objeto o se le permite escribir sobre un objeto p slo si la clasicacin de p domina la clasicacin de la o, por ejemplo, el C (p) => C (o). Esta es la no escritura de la propiedad. Este modelo tambin incluye sujetos de conanza que se les permite violar el modelo de seguridad. Estos son necesarios para el desempeo de las funciones administrativas (por ejemplo, desclasicar documentos, el aumento de un usuario de liquidacin), pero hace que la prueba de las propiedades de seguridad sean menos crebles. Este modelo se complementa con el modelo de integridad Biba a continuacin. La gura 1.3 de la pgina 20 muestra un patrn para describir este modelo.
El modelo de integridad Biba El modelo de Biba clasica los datos en los niveles de integridad y dene dos propiedades dobles de seguridad simple y * propiedades. Este modelo incluye las propiedades: Propiedad de seguridad simple: Un sujeto S puede modicar un objeto o slo si (s)> = I (o). Integridad *- propiedad: Si un sujeto s tiene acceso para leer un objetos o con el nivel de integridad I (o), s puede escribir en el objeto slo si p (o)> = I (p).
El modelo de celosa Una celosa es una estructura matemtica que consta de elementos parcialmente ordenados, donde cada par de elementos tiene un lmite superior mnimo y un mximo lmite inferior. Como las celosas no son estrictamente de orden jerrquico pueden modelar una mayor variedad de sistemas. Sin embargo, son ms difciles de aplicar que las jerarquas simples. Tambin son difciles de utilizar, por ejemplo, es muy difcil hacer una celosa de una serie
20
AssignLevel * * Data
* Category
1 Clearance Level
* Category
1 Classification Level
Figura 1.3: Multilevel security pattern. de elementos de datos con diferentes limitaciones de acceso. Por todo ello, se utilizan con poca frecuencia en la prctica. Una descripcin detallada puede encontrarse en D. Denning [28].
Aplicacin de los modelos multiniveles Los modelos multiniveles son tericamente los ms seguros de los tres modelos bsicos de seguridad. Es posible construir DBMS y sistemas operativos que siguen mltiples enfoques. Sin embargo, son difciles de aplicar porque requieren el etiquetado de los objetos protegidos y de los procesamiento independiente en cada nivel, de lo contrario tenemos la posibilidad de convertirlos en canales (los canales son encubiertas de la banda ancha de canales bajos los cuales pueden ser utilizados para la fuga de informacin entre los niveles). Tambin son complejos de utilizar, se necesita al menos dos modelos, uno para la condencialidad y otro para la integridad. Adems, en instituciones distintas de la militar es difcil clasicar a las personas y los datos en niveles. Tienen valor para la aplicacin de sistemas que necesitan capas o compartir sus funciones o su administracin de la seguridad, por ejemplo, sistemas operativos y servidores de seguridad.
21
1.16.
El modelo de Clark-Wilson
Cuando los militares estudiaron el control de la seguridad en los EE.UU., este modelo les llama la atencin sobre el hecho de que para las empresas, la integridad de la aplicacin era un aspecto mucho ms importante que la condencialidad. Se hace hincapi en las transacciones bien realizadas y en la separacin de servicio.
1.17.
Estos modelos denen una visin de estados de un sistema seguro, si se parte de un estado inicial seguro y todas las transiciones de estado son seguros vamos a estar siempre en un estado seguro. Esta denicin no tiene en cuenta si el estado inicial o las transiciones son signicativas o si contradicen las polticas de las instituciones. Hay ejemplos de tres de las posibles combinaciones de los modelos. Los modelos basados en la matriz de acceso discrecional se han utilizado en la mayora de sistemas operativos y DBMS hasta hace poco. RBAC es el modelo ms comn de los sistemas modernos, incluyendo sistemas operativos, DBMS, y servidores de aplicaciones web. Los modelos multiniveles se han utilizado slo en sistemas militares, aunque, son tiles para controlar los ataques en diferentes partes de un sistema. En particular, Joshi [29] discute la idoneidad de estos modelos para aplicaciones basadas en web. El RBAC se lo considera como el modelo ms adecuado, pero en el futuro debe extenderse a consideraciones dinmicas y basadas en tareas. Una vez que hemos decidido acerca de las polticas que queremos para un sistema dado, el siguiente paso es convertirlas en modelos. Debemos tratar de encontrar el modelo (o combinacin de modelos) que coincide con la poltica de requisitos. Por ejemplo, si tenemos un sistema en el que los usuarios deben tener determinados tipos de accesos a los documentos, es necesario algn tipo de matriz de acceso. Podemos denir los sujetos de esta matriz de acuerdo con las funciones de usuario y si los usuarios no deben conceder o recibir derechos de otros usuarios, est claro que necesitamos RBAC. El patrn de la gura 1.2 de la pgina 17 se utiliza como referencia para
22
denir el sistema: Es necesario el concepto de perodo de sesiones? Necesitamos estructuras de roles? Normalmente, este modelo cubrir slo una parte de los requisitos de la poltica, y polticas complementarias deben utilizarse. El siguiente paso consiste en reejar el modelo seleccionado en los niveles inferiores.
1.18.
Presentamos ahora la plantilla que vamos a utilizar para describir los patrones. Intento Hacer cumplir las autorizaciones cuando un sujeto solicita un objeto protegido. Contexto Un entorno multiprocesamiento en el que los sujetos solicitam objetos protegidos para llevar a cabo sus funciones. Problema Si no se dene las autorizaciones correctamente es lo mismo que no tenerlas, los sujetos pueden realizar todo tipo de acciones ilegales. Cualquier usuario puede leer cualquier archivo, por ejemplo. Cmo podemos controlar las acciones de los sujetos?. Fuerzas Las siguientes fuerzas afectan a la solucin: Denir las normas de autorizacin no es suciente, debe aplicarse siempre que un sujeto formule una solicitud a un objeto protegido.
23
Existen muchas posibles aplicaciones, necesitamos un modelo abstracto de ejecucin. Solucin Denir un proceso abstracto que intercepta todas las peticiones de recursos y controles para el cumplimiento de las autorizaciones. La gura 1.4 de la pgina 24 muestra un diagrama de clases con un monitor de referencia. En esta gura Set_of_Authorization_Rules denota un conjunto de normas de autorizacin organizado de una manera conveniente. La gura 1.5 de la pgina 24 muestra un diagrama de secuencia que muestra cmo se realiza la comprobacin. Usos conocidos La mayora de los sistemas operativos modernos aplican este concepto, por ejemplo, Solaris 9, Windows 2000, AIX, y otros. El administrador de seguridad de Java es otro ejemplo. Consecuencias Las ventajas incluyen: 1. Si se interceptan todas las peticiones, podemos asegurarnos de que cumplen las normas. 2. La aplicacin no se ha limitado al uso de procesos abstractos. Las desventajas son: 1. Las implementaciones especcas (concretas Monitores de referencia) son necesarios para cada tipo de recurso. 2. Comprobar cada solicitud puede resultar una prdida de rendimiento intolerable. Es posible que tengamos que realizar algunas comprobaciones en tiempo de compilacin. Otra posibilidad es el factor de los controles, por ejemplo al abrir un archivo, con algunos procesos de conanza que no se comprueban.
24
Subject
makesRequestTo
Reference * Monitor *
exists
*
Concrete Reference Monitor Authorization
:CurrentProcess <<actor>>
:RefMonitor
:Set_of_AuthorizationRules
:Authorization
Bibliografa
[1] Cano; Heimy J. Pautas y Recomendaciones para Elaborar Polticas de Seguridad Informtica (PSI). Universidad de los Andes, Colombia, 1998. [2] C.Wood; E.B.Fernandez; and R.C. Summers. Data base security: requirements, policies, and models. IBM Systems Journal, vol. 19, No 2,229-252, 1980. [3] Policy 200X: Workshop on Policies for Distributed Systems and Networks. http://www-dse.doc.ic.ac.uk/events. [4] D. Blacharski. Emerging Technology: Create order with a strong security policy. http://www.networkmagazine.com/ article/ NMG20000710S0015, Network Magazine, July 2000. [5] M. Andress. An overview of security http://searchsecurity.techtarget.com, December 2002. policies.
[6] S. Barman. Writing information security policies. New Riders Publ., 2002. [7] E.B.Fernandez; R.C.Summers and C. Wood. Database security and integrity. Addison-Wesley, 1981. [8] E. Lupu and M.Sloman. Conict analysis for management policies. May 1997. [9] J.D.Moett and M. Sloman. The source of authority for commercial access control. Computer, IEEE, 59-69, February 1988. [10] M. Schaefer. Reections on current issues in trusted DBMS. ARCA Systems, August 1990. [11] Common Criteria home page. http://csrc.nist.gov/cc. 25
26
BIBLIOGRAFA
[12] M. Sloman and E. Lupu. Security and management policy specication. IEEE Network,10-19, March/April 2002. [13] J. Vijayan. Employee data exposed on http://www.computerworld.com, Computerworld, Feb. 11, 2002. web.
[14] H. Hosmer. Multiple security policies for business. Notes for a tutorial at the IFIP/SEC95 Conference, 1995. [15] C.C. Wood. Information security policies made easy, Version 7. http://www.pentasafe.com/ products/ vsapolicybook.htm, 2000. [16] W.E. Kuenhauser and M. von Kopp Ostrowski. A framework to support multiple security policies. Procs. of the 7th Annual Canadian Comp. Security Symp, 1995. [17] W.E. Kuenhauser. A paradigm for user-dened security policies. Procs. of the 14th IEEE Symp. On Reliable Distributed Systems, 1995. [18] E.B.Fernandez and J.C.Hawkins. Determining role rights from use cases. Procs. 2nd ACM Workshop on Role-Based Access Control, 121-125. http://www.cse.fau.edu/ ed/RBAC.pdf, 1997. [19] B.W. Lampson. Protection. Procs. 5th Annual Conf. on Info. Sciences and Systs., 437-443. Reprinted in ACM Operating Systs. Review, 8, 1 (January 1974), 18-24, 1971, 1974. [20] G.S. Graham and P. Denning. Protection: Principles and practice. AFIPS Conf. Procs., 40,SJCC, 417-429, 1972. [21] M.A. Harrison; W.L.Ruzzo; and J.D. Ullman. Protection in operating systems. Comm. of the ACM, 19, 461-471, 8 (August 1976). [22] L. Snyder. Formal models of capability-based protection systems. IEEE Trans. on Computers, Vol. C-30, No 3,172-181, March 1981. [23] E.B. Fernandez and R. Pan. A pattern language for security models. Procs. of PLoP 2001, http://jerry.cs.uiuc.edu/ plop/plop2001, 2001. [24] E. B. Fernandez; J. Wu and M. H. Fernandez. User group structures in object-oriented databases. Proc. 8th Annual IFIP W.G.11.3 Working Conference on Database Security, Bad Salzdetfurth, Germany, August 1994.
BIBLIOGRAFA
27
[25] R. Sandhu et al. Role-Based Access Control models. Computer , vol. 29 , No2,38-47, February 1996. [26] GMU Laboratory for http://www.list.gmu.edu. Information Security Technology.
[27] E.B. Fernandez; R.C.Summers and T.Lang. Denition and evaluation of access rules in data management systems. Procs. First Int. Conf. On Very Large Databases, 268-285, Boston, MA, 1975. [28] D.E. Denning. Cryptography and data security. Addison-Wesley, 1982. [29] J.B.D.Joshi; W.G.Aref; A. Ghafoor and E. H. Spaord. Security models for web-based applications. Comm. of the ACM, vol. 44, No. 2,38-44, February 2001.
ndice alfabtico
CIM, 10 ECMA, 9 funciones en materia de polticas, 9 introduccin, 1 ISO, 9 modelo de Clark-Wilson, 21 monitor de referencia, 22 modelos de seguridad, 13 modelos y diseo de sistemas de seguros, 21 NIST, 9 PCIM, 10 polticas de seguridad, 3 diseos de sistemas de seguridad, 12 especcas, 5 estndares, 9 necesidad, 2 normas, 10 RBAC, 16 sistema de polticas, 6 29