Niveles de Seguridad Informtica

El estndar de niveles de seguridad mas utilizado internacionalmente es el TCSEC

Orange Book(2), desarrollado en 1983 de acuerdo a las normas de seguridad en
computadoras del Departamento de Defensa de los Estados Unidos.
Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se
enumeran desde el mnimo grado de seguridad al mximo.
Estos niveles han sido la base de desarrollo de estndares europeos (ITSEC/ITSEM) y
luego internacionales (ISO/IEC).
 Niveles de Seguridad Informtica

NIVEL D1

El nivel D1 es la forma ms elemental de seguridad disponible. En este no hay

proteccin disponible para el hardware; el sistema operativo se compromete con
facilidad, y no hay autenticacin con respecto a los usuarios y su derecho para tener
acceso a la informacin que se encuentra en la computadora. Este nivel de seguridad
se refiere por lo general a los sistema operativos como MS. DOS, MS - Windows y
System 7.x de Apple Macintosh. Estos sistema operativos no distinguen entre usuarios
y carecen de un sistema definido para determinar quien trabaja en el teclado. Tampoco
tiene control sobre la informacin que puede introducirse en los discos duros.
 Niveles de Seguridad Informtica

NIVEL C1

El nivel C1, o sistema de proteccin de seguridad discrecional, describe la

seguridad disponible en un sistema tpico Unix. En este nivel los usuarios deben
identificarse a si mismos con el sistema por medio de un nombre de registro de
usuario y una contrasea. Esta combinacin se utiliza para determinar que derecho
de acceso a los programas e informacin tiene cada usuario. Estos derecho de
acceso son permisos para archivos y directorios. Sin embargo, la cuenta de
administracin de sistema no esta restringida a realizar cualquier actividades.
 Niveles de Seguridad Informtica

NIVEL C1

En consecuencia un administrador de sistema sin escrpulos puede comprometer con

facilidad la seguridad del sistema sin que nadie se entere. Adems, varias de las tareas
cotidianas de administracin del sistema slo pueden realizar al registrarse el usuario
conocido como raz. Estos es un problemas por si mismo, puesto que no existe forma
de distinguir los errores que hizo Dani o Nico en el sistema el da de ayer pusto que
ambos conocen la contrasea raiz.
 Niveles de Seguridad Informtica

NIVEL C2

El nivel C2, fue diseado para ayudar a solucionar tales hechos. Junto con las
caractersticas de seguridad adicional que crean un medio de acceso controlado.
Este medio tiene la capacidad de reforzar las restricciones a los usuarios en
ejecucin de algunos comando o acceso a algunos archivos basados no slo en
permisos, sino de niveles de autorizacin. Adems, este nivel de seguridad requiere
auditorias del sistema. Esto incluye la creacin de un registro de auditoria para cada
evento que ocurre en el sistema.
 Niveles de Seguridad Informtica

NIVEL C2

La auditoria requiere de autenticacin del usuario adicional porque, si no, cmo se

puede asegurar de que la persona que ejecuta el comando es realmente quien dice
ser? La desventaja de la auditoria es que requiere un procesador adicional y
recursos de disco del subsistema. Con el uso de autorizaciones adicionales, es
posible que los usuarios de un sistema C2 tenga la autoridad para realizar tarea de
manejo de sistema sin necesidad de una contrasea. Esto mejora el rastreo de las
tareas relativas a la administritracin, puesto que cada usuario realiza el trabajo en
lugar del administrador de sistema.
 Niveles de Seguridad Informtica

NIVEL B1

El nivel B1, o proteccin de seguridad etiquetada, es el primer nivel que soporta

seguridad de multinivel, como la secreta y la ultrasecreta. Este nivel parte del
principio de que un objeto bajo el acceso obligatorio no puede aceptar cambios en
los permisos hecho por el dueo de archivo.
 Niveles de Seguridad Informtica

NIVELB2

El nivel B2, conocido como proteccin estructurada, requiere que se etiquete cada
objeto. Los dispositivos como discos duros, cintas o terminales podrn tener
asignado un nivel sencillo o mltiple de seguridad. Este es primer nivel que empieza
a referirse al problema de un objeto a un nivel ms elevado de seguridad en
comunicacin con otro objeto a un nivel inferior.
 Niveles de Seguridad Informtica

NIVEL B3

El nivel B3, o nivel de dominios con la instalacin de hardware. Por ejemplo, el

hardware de administracin de memoria se usa para proteger el dominio de
seguridad de un acceso no autorizado o la modificacin de objetos en diferentes
dominios de seguridad. Este nivel requiere que la terminal del usuario se conecte al
sistema por medio de una ruta de acceso segura.
 Niveles de Seguridad Informtica

NIVEL A

El nivel A, o nivel de diseo verificado, es hasta el momento el nivel ms elevado de

seguridad validado por el libro naranja.. Incluye un proceso grande de diseo,
control y verificacin. Para lograr este nivel de seguridad, todos los componente de
los niveles inferiores deben incluirse; el diseo requiere ser verificado en forma
matemtica; a dems es necesario realizar un anlisis de los canales encubiertos y
de la distribucin confiable. Distribucin confiable significa que el hardware y el
software han estado protegido durante su expedicin para evitar violaciones a los
sistema de seguridad.
 Niveles de Seguridad Informtica

ANLISIS DE LOS ASUNTOS DE SEGURIDAD LOCAL

Adems de los productos de seguridad o las regulaciones desarrolladas fuera de la

organizacin hay que trabajar para resolver los asuntos de seguridad que podrn
ser locales o restringido de la organizacin o a un subgrupo de esta. Tales asuntos
de seguridad local incluyen polticas de seguridad y de contrasea.
 Niveles de Seguridad Informtica

POLITICA DE SEGURIDAD

Se puede establecer dos instancias principales en el desarrollo de polticas que

reflejen la seguridad en su mquina. Estas forman la base de todas las dems
polticas de seguridad. Aquello que no se permite en forma expresa, est prohibido,
es el primer paso a la seguridad. Esto significa que la organizacin ofrece un grupo
de servicio preciso y documentado, y todo lo dems est prohibido. La alternativa
del planteamiento es aquello que no est prohibido de manera expresa se permite.
 Niveles de Seguridad Informtica

POLITICA DE SEGURIDAD

Esto significa que al menos que se indique en forma expresa que un servicio no
est disponible, entonces todos los servicios estarn disponible. Sin importar que
decisiones tome, la razn para definir una poltica de seguridad, es determinar que
accin deber tomarse en caso que la seguridad de una organizacin se vea
comprometida. La poltica intenta tambin describir que acciones sern toleradas y
cules no.
 Niveles de Seguridad Informtica

EL ARCHIVO PASSWORD

La primera lnea de defensa en contra del acceso no autorizado al sistema es el

archivo /etc/ password. Por desgracia, es el punto ms dbil! Este archivo consta
de lneas y archivo o registros en las cuales las lneas se divide en siete campos
con dos puntos (:), como lo ilustra el siguiente ejemplo: Chare:
u7mHuh5R4Vo:105:100: Dani Cricco:/ u / char:/ bin/ ksh Username: contrasea
encriptada: UID:GID: comment:home directory: login shell
 Niveles de Seguridad Informtica

EL ARCHIVO PASSWORD

No es necesario que la contrasea encriptada real se coloque en el campo de

contrasea encriptado. Este campo puede contener otros valores. Este campo
contiene por lo general una x o un (*), que indica que la contrasea se guarda en
otro lado. En esas situaciones, la contrasea se guarda ya sea en la base
computacional confiable(TCB) o en el archivo shadow password.
 Niveles de Seguridad Informtica

EL ARCHIVO PASSWORD

Los permisos en el password, el archivo shadow password y los archivos en el TCB

son de solo lectura, lo que significa que nadie puede editar el archivo. La
informacin de contrasea en esos archivos se actualiza mediante el comando
password. Los permisos en el comando password incluye bit SUID( para establecer
la ID de usuario), Gracias a la aplicacin del bit SUID, el usuario puede cambiar la
contrasea aunque no tenga a autoridad para editar el archivo.
 Niveles de Seguridad Informtica

EL ARCHIVO SHADOW PASSWORD

Las versiones de Unix que no incluyen las opciones de seguridad avanzada de

secure ware penden soportar al archivo shadow password. Cuando aparezca el
carcter x en el campo de contrasea, entonces la contrasea real del usuario se
guarda en el archivo shadow password, /etc/shadow. A diferencia del archivo
/etc/passwd, aquel deber ser legible slo para la raz.
 Niveles de Seguridad Informtica

EL ARCHIVO SHADOW PASSWORD

El formato del archivo /etc/shadow es idntico al archivo al formato del

archivo /etc /passwd, ya que ambos tienen siete campos delimitados por
dos puntos(:). Sin embargo, el primero solo contiene el nombre del
usuario, la contrasea encriptada y la contrasea de informacin caduca
El archivo /etc/shadow se crea mediante el comando pwconv en los
sistemas que lo soportan.
 Niveles de Seguridad Informtica

EL ARCHIVO SHADOW PASSWORD

Slo el superusuario puede crear el archivo shawod password. La principal ventaja

de usar el archivo shadow password es que coloca la contrasea encriptada en un
archivo al que no tiene acceso los usuarios normales, as se reducen las
posibilidades de que un intruso sea capaz de robar la informacin de contrasea
ecriptada.
 Niveles de Seguridad Informtica

EL ARCHIVO DE CONTRASEAS DIALUP:

Contiene una lista de los puertos seriales protegidos por una contrasea de
acceso telefnico.
 Niveles de Seguridad Informtica

EL ARCHIVO GROUP

El archivo /etc/group se utiliza para controlar el acceso que pertenecen al usuario.

Si el usuario no es el dueo del archivo, entonces el (los) grupo(s) al cual
pertenecen se verifica(n) para saber si el usuario es miembro del grupo que posee
el archivo. La lista de membresa de grupos se encuentra en /etc/ group. La
contrasea para el archivo no se utiliza, y no hay mecanismo sencillos que est
disponible para instalar una contrasea en el archivo. Si un usuario trata hacia un
grupo de cual no es miembro, entonces se indica que introduzca una contrasea
 Niveles de Seguridad Informtica

CADUCIDAD Y CONTROL DE LA CONTRASEA

Este mecanismo controla en que momento pueden los usuarios cambiar sus
contrasea mediante la insercin de un valor en el archivo de contrasea despus
de la contrasea encriptada, este valor define el periodo de tiempo que debe pasar
antes de que los usuarios puedan cambiar sus contraseas, y el perodo mximo de
tiempo que puede transcurrir antes de que la contrasea expire.
 Niveles de Seguridad Informtica

VNDALOS Y CONTRASEAS

El trmino hacker no siempre ha tenido una conotacin negativa. Ms bien era una
palabra que se referia a alguien persistente, que trataba de desentraar las cosas y
averiguar cmo funcionaban. Como Resultado de esa reputacin, y debido a que la
mayoria de quienes se funcionaban. Como resultado de esa reputacin, y debido a
que la mayoria de quienes se dedicaban a esa actividad eran genios de la
computacin, el trmino hacker adquiri una connotacin negativa. Sin embargo,
para efectos de esta discusin, y debido a que conozco a hackers "buenos", a los
malos me referrrir como vandalos.
 Niveles de Seguridad Informtica

PASSWORD CRACKER

Es un programa utilizado por un vndalo que los intentos de "adivinar" las

contraseas en el archivo / etc / passwd comparndolas con las palabras de
una diccionario. El xito depende de los recursos de la CPU, en la calidad del
diccionario, y el hecho de que el usuario tenga una copia de / etc / passwd.
 Niveles de Seguridad Informtica

SEGURIDAD C2 Y LA BASE COMPUTACIN CONFIABLE

La base computacional confiable (TCB) Es parte del sistema de seguridad para los
sistemas valorados como C2 de UNIX. Este sistema trabaja mediante el traslado de
bits en el archivo / etc. / password hacia otros lugares, as como la adicin de
informacin original. Los archivos que constituyen las bases de datos para la base
computacional confiable se encuentra diseminados en varias jerarquas de
directorio En un sistema que utiliza el TCB , se coloca un asterisco en el campo de
contrasea de / etc./ password .
 Niveles de Seguridad Informtica

SEGURIDAD C2 Y LA BASE COMPUTACIN CONFIABLE

Esto es porque la contrasea del usuario real se guarda con otra informacin de
usuario en la base computacional confiable (TCB.) El usuario no cambia la
operacin del sistema tanto como cuando Unix proporciona los mismos servicios al
empleado TCB . En algunas versiones de Unix como SCO Unix como CSO Unix ,
incluso si no est utilizando C2 . La base computacional confiable todava estar en
uso para proporcionar servicio de seguridad.
 Niveles de Seguridad Informtica

COMO ENTENDER LA EQUIVALENCIA DE RED

Los dos tipos primarios de equivalencia de red son el acceso al host confiable y el
acceso del usuario confiable. A travs de este anlisis, hay que recordar que
muchos administradores de red prefieren utilizar estos recursos para entregar
servicios mediante sus organizaciones sin entender cmo operan, y qu efecto
tienen en su host a la seguridad en la red.
 Niveles de Seguridad Informtica

COMO ENTENDER LA EQUIVALENCIA DE RED

Equivalencia de Usuario

Configuracin equivalencias de usuario - Mtodo Secure Shell (SSH)

Existen varios mtodos de autentificacin remota, los cuales permiten tener un
entorno seguro de conexin a distintos nodos.
Para la configuracin de OracleRAC es necesario tener cuentas de usuarios
equivalentes, ya que deben ser iguales en la configuracin de variables de
ambiente, puntos de montaje, claves y permisos.
 Niveles de Seguridad Informtica

COMO ENTENDER LA EQUIVALENCIA DE RED

Equivalencia de Usuario

La equivalencia permite acceder a los distintos nodos que conforman el cluster sin
necesidad de ingresar la clave al momento de conectarse via ssh.
En Linux deberamos primero saber si tenemos instalado el OpenSSH SSH daemon
o sshd. Este proceso permite escuchar conexiones entrantes para conectarse a
cualquier ambiente.
 Niveles de Seguridad Informtica

COMO DEFINIR USUARIO Y GRUPO

Puede asignar en orden secuencial, asignar nmero de bloques a los

departamentos o categoras de usuarios, o asignar bloques de nmeros a las
oficinas. Sin del mtodo, es crtico que sea el estndar para la adicin de usuarios.
 Niveles de Seguridad Informtica

COMO ENTENDER LOS PERMISOS

Se utiliza en cada archivo es determinar cmo el acceso a los archivos y directorios

se controlan. Muchas situaciones se pueden prevenir a travs de la correcta
aplicacin de este sencillo, sin embargo, poderoso mecanismo.
 Niveles de Seguridad Informtica

COMO ENTENDER LOS PERMISOS

GRUPOS DE PERMISOS:

Aquellos aplicables al propietario del archivo.

Los usuarios que tengan el mismo que el Departamento General de
Informacin en el archivo.
Resto de los usuarios.
 Niveles de Seguridad Informtica

COMO ENTENDER LOS PERMISOS

GRUPOS DE PERMISOS:

Aquellos aplicables al propietario del archivo.

Los usuarios que tengan el mismo que el Departamento General de
Informacin en el archivo.
Resto de los usuarios.
 Niveles de Seguridad Informtica

COMO EXPLORAR LOS METODOS DE ENCRIPTACION DE DATOS.

En un momento, las contraseas se almacenan en un formato de texto plano,

y slo el administrador y software del sistema tenan acceso al archivo. Sin
embargo, numerosos problemas se produjo cuando el archivo de contraseas
/ etc / passwd se est editando. La mayora de los editores crean un archivo
temporal, que es el que se presenta efectivamente editado. El mtodo de
cifrado de Unix para el cifrado de contraseas se accede a travs de un
mecanismo del kernel llamada crypt (3).
 Niveles de Seguridad Informtica

COMO EXPLORAR LOS METODOS DE ENCRIPTACION DE DATOS.

Cifrado de archivo.
Cifrado de archivos con el comando cripta es relativamente simple. Si no se
proporcionan argumentos en la lnea de comandos, la cripta pide la clave, lee
los datos para cifrar de la norma de entrada, e imprime la informacin cifrada
en la salida estndar.
 Niveles de Seguridad Informtica

EL SISTEMA KERBEROS

Fue desarrollado por el Massachusetts Institute de Proyecto de Tecnologa de

Atenea.
Kerberos es un sistema de autenticacin. En pocas palabras, es un sistema
que valida un director de identidad. Un director puede ser un usuario o un
servicio.
COMPONENTES:
Nombre de Primaria
Instancia
Realm

En Kerberos terminologa, esto se llama una tupla.

 Niveles de Seguridad Informtica

EL SISTEMA KERBEROS

Fue desarrollado por el Massachusetts Institute de Proyecto de Tecnologa de

Atenea.
Kerberos es un sistema de autenticacin. En pocas palabras, es un sistema
que valida un director de identidad. Un director puede ser un usuario o un
servicio.
COMPONENTES:
Nombre de Primaria
Instancia
Realm

En Kerberos terminologa, esto se llama una tupla.

 Niveles de Seguridad Informtica

EL SISTEMA KERBEROS

DESVENTAJAS:
Kerberos no es un sistema peer-to-peer.
La configuracin del medio ambiente en el MIT es diferente a cualquier otra
organizacin.
La mayora de los sistemas de computadoras no tienen un lugar seguro
donde guardar las llaves.
Cmo maneja las claves de Kerberos en equipos multiusuario.

Existen debilidades en el protocolo Kerberos

 Niveles de Seguridad Informtica

IP SPOONFING

Es una amenaza potencialmente peligrosa para cualquier red conectada a

Internet o en una red, permite una gran cantidad de otros "de confianza" hosts
para comunicarse con l sin necesidad de autenticacin.
Esto se logra mediante la creacin de la rhost y otros archivos. Todas las
comunicaciones provenientes de fuentes distintas de las definidas como de
confianza deben proporcionar servicios de autenticacin antes de que se les
permite establecer enlaces de comunicacin.