Seguridad 4pp

Sistemas Operativos Distribuidos

Fallos
Fiabilidad y
Seguridad
Vctor Robles Forcada

Francisco Rosales Garca
Conceptos Bsicos
Clasificacin de fallos
Diversos elementos de un sistema distribuido pueden fallar:

Procesadores, red, dispositivos, software, etc.
Tipos de fallos:
Transitorios: Falla una vez y luego funciona correctamente
Intermitentes: El fallo aparece de forma intermitente
Permanentes: Una vez falla el elemento, ya no se recupera
Soluciones basadas generalmente en replicacin

3
8-Seguridad

Fernando Prez Costoya

Jos Mara Pea Snchez

Jos Mara Pea Snchez
De acuerdo al funcionamiento del componente con fallo:

Fallo de parada: el componente que falla se para y no interfiere en el
resto del sistema
Fallos por omisin: fallo que causa que un componente no
responda a parte de su cometido. Por ejemplo, un canal de
comunicacin puede presentar fallos por omisin de envo y
recepcin
Fallos de temporizacin (rendimiento): no se cumple el rendimiento
esperado, el componente responde demasiado tarde
Fallos de respuesta: El elemento responde incorrectamente a las
peticiones
Fallos bizantinos (arbitrario): comportamiento arbitrario y malicioso.
El elemento falla de forma descontrolada
4


Jos Mara Pea Snchez

Ejemplos de fallos
Procesador:
Fallo parada
Fallos bizantinos
Red de comunicacin:
Replicacin
Puede tener todos los tipos de fallos
En el reloj:
Fallo de respuesta. El reloj se adelanta o se atrasa
Dispositivos de almacenamiento:
Fallo parada (no se puede leer ni escribir)
Fallos por omisin: algunos datos son inaccesibles
Fallos bizantinos: datos corruptos
5


Jos Mara Pea Snchez
Replicacin
Mejorar el rendimiento
Mejorar la disponibilidad
Tolerancia a fallos
El elemento a replicar se suele denominar objeto

Un objeto est compuesto por una serie de copias fsicas
denominadas rplicas
Un sistema replicado debe contemplar:
Requisitos
Modelo de Sistema: Cmo funcionan cada uno de los gestores de

rplicas
Comunicacin del Sistema: Intercambio de informacin entre los
gestores de replicas. Muy til mecanismos multicast
Transparencia
Coherencia
Rendimiento
8-Seguridad

Jos Mara Pea Snchez
Sistema Replicado
Disponer de copias de datos, servicios o recursos

Objetivos

7



Jos Mara Pea Snchez

8


Jos Mara Pea Snchez

Modelo de Sistema Replicado
Cada gestor de rplicas debe garantizar
las propiedades de una transaccin
dentro de sus datos asociados
Caractersticas:
Funcionamiento determinista
Recuperabilidad
Conjunto esttico o dinmico
Fases de una peticin:
Recepcin
p
((front-end))
Coordinacin
Ejecucin
Todos los RMs
Acuerdo
Respuesta
9
Mantenimiento de las Rplicas

Coherencia de rplicas:
Cliente
Dbil: operaciones pueden devolver valor obsoleto

Ejemplos:
j p DNS y NIS de Sun
Front end
RM
RM
RM
SERVICIO


Jos Mara Pea Snchez
Lecturas sobre cualquier copia

Actualizaciones sobre la primaria que las propaga a secundarias
Dependiendo del mtodo de propagacin, la coherencia ser dbil o
estricta.
Alternativa: avisar a secundarias para que lean nueva versin.
Replicacin con copia primaria

Replicacin con copias simtricas

10


Jos Mara Pea Snchez
Recepcin:
El front-end recibe la peticin
Coordinacin:
El RM primario recibe la peticin, la procesa de forma atmica
Si ya la ha ejecutado (ID nico ya procesado), re-enva la respuesta
Ejecucin:
Si servidor primario falla, se elige otro.

BACKUP
Front end
RM
PRIMARIO
RM
BACKUP
RM
SERVICIO
8-Seguridad
Posibles esquemas:
Esquema con Copia Primaria
Existe una copia primaria y copias secundarias:

11
Menos eficiente (compromiso coherencia-eficiencia)
RM: Gestor de rplicas

(Replica Manager)
Cliente
Estricta: operaciones devuelven siempre valor actualizado


Jos Mara Pea Snchez
El RM primario ejecuta y almacena el resultado
Acuerdo:
Si la peticin es una actualizacin se notifica a los RM secundarios
Respuesta:
El RM primario responde al front-end
12


Jos Mara Pea Snchez

Discusin:
Esquema con Copias Simtricas

Esquema de votacin:
Vale para servicios no deterministas

Si hayy N servidores el servicio sobrevive a N-1 fallos
No soporta fallos bizantinos (en el primario)
El servicio requiere mltiples comunicaciones
Permite descargar los procesos de slo-lectura a los backups
N rplicas: cada una con un nmero de versin

Lectura requiere
q
qqurum
Escritura requiere qurum
Ejemplo:
Front end
Servicio de NIS
Cliente
RM
Votacin
RM
RM
SERVICIO
13


Jos Mara Pea Snchez
Esquema con Copia Simtricas

Recepcin:

14


Jos Mara Pea Snchez
Esquema con Copia Simtricas

Discusin:
El front-end recibe la peticin y re-enva (multicast) al grupo de RM
Coordinacin:
Del modelo de comunicacin se requiere transmisin fiable y en
orden
Ejecucin:
La suposicin de un multicast fiable y ordenado es clave

Un sistema de 2N+1 elementos soporta
p
hasta N fallos bizantinos
Se relajan las necesidades del sistema en relacin a la ordenacin
(operaciones conmutables), pero se compromete la consistencia
Permite descargar los procesos de solo-lectura a una replica
Se procesa la misma peticin en cada RM
Acuerdo:
Debido a la semntica multicast no se requiere fase de acuerdo
Respuesta:
Se evalan todas las respuestas recogidas por el front-end
15
8-Seguridad


Jos Mara Pea Snchez

16


Jos Mara Pea Snchez

Conceptos de Proteccin y Seguridad
Proteccin: Evitar que se haga un uso indebido de los
recursos que estn dentro del mbito del SO. Mecanismos y
ppolticas qque aseguren
g
qque los usuarios slo acceden a sus
propios recursos (archivos, zonas de memoria, etc.)
Seguridad: Es un concepto mucho ms amplio y est dirigida
a cuatro requisitos bsicos:
Seguridad
Confidencialidad: La informacin slo es accesible por las partes

autorizadas
Integridad: Los contenidos slo podrn modificarse por las partes
autorizadas
Disponibilidad: Los componentes de un sistema informtico slo
estn disponibles por las partes autorizadas
Autenticacin: Capacidad de verificar la identidad de los usuarios


Jos Mara Pea Snchez

18
Tipos de Peligros
Destruccin de disco duro,

duro eliminacin del sistema gestor de ficheros
Elemento
Confidencialidad
Integridad
Disponibilidad
H d
Hardware
R b d
Robado
Copiado
D t id
Destruido
Pinchado
Falsificado
S b
Sobrecargado
d
Fallido
Robado
Destruido
No disponible
Software
Robado
Copiado
Pirateado
Caballo de Troya
Modificado
Falsificado
Borrado
Mal instalado
Caducado
Datos
Descubiertos
Espiados
Inferidos
Daados
Error HW
Error SW
Error usuario
Borrados
Mal instalados
Destruidos
Intercepcin: Ataque contra la confidencialidad

Escucha de canal de comunicaciones, copia ilcita de programas
Modificacin: Capacidad de modificar un componente

(ataque hacia la integridad)
Alterar un programa, modificar el contenido de los mensajes
Fabricacin: un elemento no autorizado inserta objetos

extraos en un sistema (ataque contra la autenticacin)
Inclusin de un registro en un fichero, insercin de mensajes en una
red
8-Seguridad


Jos Mara Pea Snchez
Problemas de Seguridad
Interrupcin: Se destruye un componente del sistema o se

encuentra no disponible o utilizable (ataque a la disponibilidad)

19


Jos Mara Pea Snchez
Problemas de Seguridad en Instalaciones Informticas

20


Jos Mara Pea Snchez

Ataques en lneas de comunicacin
Ataques pasivos: espionaje o monitorizacin de transmisiones
Lectura del contenido de los mensajes
Anlisis de trfico (cifrado)
(
)
Ataques activos: modificaciones o creaciones de flujos de

datos
Enmascaramiento: Un elemento se hace pasar por otro diferente
Reenvo: Captura de una unidad de datos y su posterior
retransmisin
Modificacin de mensajes: Se altera parte de un mensaje vlido
Denegacin de servicio: Previene o imposibilita el uso normal o la
gestin de las instalaciones de comunicacin

21


Jos Mara Pea Snchez
Problemas de Seguridad (I)

Uso indebido o malicioso de programas
Caballo de Troya (Troyanos): Programa que hace cosas no

autorizadas
P
Programa de
d login
l i modificado,
difi d editor
dit de
d texto
t t que hace
h
copias
i a otros
t
directorios
Puerta trasera: Crear un agujero de seguridad al sistema a travs de

un programa privilegiado
Identificacin reservada a un programa, parches a un compilador para
que aada cdigo no autorizado
Usuarios inexpertos o descuidados

Usuarios no autorizados (intrusos)
Virus: Es un pequeo programa capaz de reproducirse a s
mismo, infectando cualquier tipo de archivo ejecutable, sin
conocimiento del usuario
22


Jos Mara Pea Snchez
Problemas de Seguridad (II)

Gusanos: Es un cdigo maligno cuya principal misin es
reenviarse a s mismo.
No afectan a la informacin de los sitios que contagian

Consumen amplios recursos de los sistemas y los usan para infectar
a otros equipos
Rompedores de sistemas de proteccin: Programas que tratan

de romper la seguridad para ejecutar accesos ilegales (Satan)
Ataques de denegacin de servicio: Bombardeo masivo con
ppeticiones de servicio. Los atacantes se enmascaran con
identidades de otros usuarios (spoofing)
Phising: Es la capacidad de duplicar una pgina web para
hacer creer al visitante que se encuentra en la pgina original
en lugar de en la copiada
23
8-Seguridad


Jos Mara Pea Snchez
Cifrado


Jos Mara Pea Snchez

Cifrado
Tipos de Sistemas de Cifrado
Cifrado de la informacin con clave KC:
Sistemas de clave secreta:
C(Info, KC) InfoCif.

Notacin tpica:
p
{Info}K
{
} C
Descifrado con clave KD:
D(InfoCif, KD) Info. original
Sistemas de clave pblica:
2 alternativas:
sistemas de clave secreta

sistemas de clave pblica

25

KC = KD
Emisor y receptor
p comparten
p
la clave
Ejemplo: DES
Problema de la distribucin de la clave

Jos Mara Pea Snchez
KC KD
KD es la clave secreta del servidor
KC es la clave pblica del servidor
KD no puede deducirse a partir de KC
Menos eficientes que sistemas de clave secreta
Ejemplo: RSA

26
Kerberos


Jos Mara Pea Snchez
Kerberos
Sistemas de autenticacin desarrollado en M.I.T. (mediados 80)

Basado en sistemas de clave secreta
Usado en muchos sistemas; AFS,

AFS RPC de Sun
Sun, Windows
2000
Autenticacin de cliente y servidor basado en tercer
componente
Caractersticas:
Claves de clientes y servidores no se transmiten por la red

Claves no se almacenan mucho tiempo
p en clientes
Timestamps para detectar retransmisiones maliciosas
Claves con plazo de expiracin
Permite autenticacin entre dominios
Puede usarse tambin para cifrar los datos
Reside en mquina segura

Conoce claves secretas de clientes y servidores

27
8-Seguridad


Jos Mara Pea Snchez

28


Jos Mara Pea Snchez

Tickets y Autenticadores
Componentes
Objetos bsicos en la autenticacin

Ticket:
Registro que el cliente incluye en el mensaje que permite a un
servidor verificar su identidad
Est cifrado con clave del servidor e incluye entre otros:
identidad del cliente, clave para la sesin, plazo de expiracin
Autenticador:
Registro que el cliente incluye en el mensaje que asegura que el
mensaje se ha generado recientemente y no se ha modificado
Est cifrado con clave de sesin e incluye entre otros:
Proporciona el ticket inicial:

Ticket de concesin de tickets (TGT)
Normalmente se solicita TGT en el login del usuario

El TGT se usa para comunicarse con el TGS
Servidor de concesin de tickets (TGS)

Cuando un cliente necesita comunicarse con un nuevo servidor
solicita al TGS, usando un TGT, un ticket para identificarse
AS servira para obtener tickets para identificarse ante

cualquier servidor pero normalmente slo se usa para
comunicarse con TGS
tiempo actual y checksum

29
2 componentes implementados normalmente como una

entidad
Servidor de autenticacin (AS):


Jos Mara Pea Snchez
Protocolo con AS

30


Jos Mara Pea Snchez
Necesidad del TGS
Secuencia de mensajes (C cliente;S servidor):

CAS:
{C,S,...} sin cifrar
AS genera una clave se sesin aleatoria KSES y enva mensaje:

{KSES, S, Texpiracin,...}KC
{Ticket} KS que contiene {KSES, C, Texpiracin,...}KS
CS: enva mensaje con ticket y autenticador:
{Ticket} KS + {marca de tiempo, checksum,...} KSES

Servidor comprueba que no se ha modificado mensaje y que la marca
de tiempo es reciente
SC:
{marca de tiempo} KSES
AS es suficiente pero genera un problema de seguridad:

Clave del cliente (generada normalmente a partir de contrasea)
disponible todo el tiempo en nodo cliente
O se pide contrasea peridicamente a usuario o se almacena en
la mquina
Ambas soluciones inadecuadas
Solucin: Uso de TGS

En login se obtiene de AS el ticket para TGS (TGT)
Tickets
Ti k t para nuevos servidores
id
se piden
id a TGS
TGT es diferente en cada login y tiene una vida corta
Si se precisa integridad de datos pueden cifrarse con KSES

31
8-Seguridad


Jos Mara Pea Snchez

32


Jos Mara Pea Snchez

Protocolo Completo
Protocolo en login (ya analizado):
C solicita a AS ticket para comunicarse con TGS (TGT)
AS devuelve {{TGT}K
} TGS y clave de sesin con TGS ((KSESTGS)
Protocolo con TGS: C quiere autenticacin con nuevo

servidor S
CTGS: solicita ticket para identificarse ante S
{TGT}KTGS + {marca de tiempo, checksum,...} KSESTGS +{S}
TGSC enva mensaje con clave de sesin y ticket:

{KSES, S,
S Texpiracin,...}K
Texpiracin }KSESTGS + {Ticket} KS
CS: enva mensaje con ticket y autenticador:

{Ticket} KS + {marca de tiempo, checksum,...} KSES
SC:
{marca de tiempo} KSES

33
8-Seguridad


Jos Mara Pea Snchez

Seguridad 4pp

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Seguridad 4pp

Încărcat de

Drepturi de autor:

Formate disponibile

Sistemas Operativos Distribuidos

Sistemas Operativos Distribuidos

Vctor Robles Forcada

Diversos elementos de un sistema distribuido pueden fallar:

Soluciones basadas generalmente en replicacin

Sistemas Operativos Distribuidos

Vctor Robles Forcada

Fernando Prez Costoya

Fernando Prez Costoya

De acuerdo al funcionamiento del componente con fallo:

Vctor Robles Forcada

Fernando Prez Costoya

Sistemas Operativos Distribuidos

Puede tener todos los tipos de fallos

Vctor Robles Forcada

Fernando Prez Costoya

El elemento a replicar se suele denominar objeto

Modelo de Sistema: Cmo funcionan cada uno de los gestores de

Fernando Prez Costoya

Disponer de copias de datos, servicios o recursos

Sistemas Operativos Distribuidos

Vctor Robles Forcada

Vctor Robles Forcada

Fernando Prez Costoya

Sistemas Operativos Distribuidos

Vctor Robles Forcada

Fernando Prez Costoya

Sistemas Operativos Distribuidos

Mantenimiento de las Rplicas

Dbil: operaciones pueden devolver valor obsoleto

Vctor Robles Forcada

Fernando Prez Costoya

Lecturas sobre cualquier copia

Replicacin con copia primaria

Sistemas Operativos Distribuidos

Vctor Robles Forcada

Fernando Prez Costoya

Si servidor primario falla, se elige otro.

Esquema con Copia Primaria

Existe una copia primaria y copias secundarias:

Sistemas Operativos Distribuidos

Menos eficiente (compromiso coherencia-eficiencia)

RM: Gestor de rplicas

Esquema con Copia Primaria

Estricta: operaciones devuelven siempre valor actualizado

Vctor Robles Forcada

Fernando Prez Costoya

El RM primario ejecuta y almacena el resultado

Vctor Robles Forcada

Fernando Prez Costoya

Sistemas Operativos Distribuidos

Esquema con Copias Simtricas

Vale para servicios no deterministas

N rplicas: cada una con un nmero de versin

Vctor Robles Forcada

Fernando Prez Costoya

Esquema con Copia Simtricas

Sistemas Operativos Distribuidos

Vctor Robles Forcada

Fernando Prez Costoya

Esquema con Copia Simtricas

El front-end recibe la peticin y re-enva (multicast) al grupo de RM

La suposicin de un multicast fiable y ordenado es clave

Se procesa la misma peticin en cada RM