S EGURIDAD EN S ISTEMAS M ICROSOFT ® Windows 9x ® Windows NT ® Windows 2000 ® Fco. Javier...

SEGURIDAD EN SISTEMAS

MICROSOFT ®

Windows 9x ®

Windows NT ®

Windows 2000 ®

Fco. Javier Rubiales y Miguel Herreros

Contenidos

• Seguridad Básica.– Objetivos.

• Windows 9x ®

– Presentación, Arquitectura Kernel y Seguridad• Windows NT ®

– Presentación y Arquitectura Kernel– Sistemas Básicos– Sistemas de Archivos (FAT y NTFS)– Seguridad en NT– Comparativa Seguridad NT - NetWare - UNIX

• Windows 2000 ®

– Evolución de NT– Servicios de Seguridad

• Bibliografía

Seguridad Básica

• Control de Acceso– Determina quien puede

acceder a un sitio y quien no.

• Intervención– Saber en todo momento

quien hace cualquier cosa.

• Autenticación– Asegurarse de que es uno

mismo el que accede a sus datos, etc.

• Privacidad e Integridad de datos– Evitar que se puedan leer mis

datos o documentos, y que lleguen bien al destino.

Seguridad Básica OBJETIVOS

• Confidencialidad de los Datos– La información no esta disponible a personas no autorizadas.

• Integridad de los Datos– La información no debe ser modificada en sitios insospechados.

• Disponibilidad– Tanto en información como en maquinas de red.

Windows 9x ®

PRESENTACION DEL SISTEMA

• Windows 95 ® y 98 ® son dos sistemas operativos (el 98 evolución del 95) de 32 bits totalmente integrados, multitarea preemptiva para 32 bits y gran rendimiento en aplicaciones de 16 bits, soporte multihilo y ofrece procesos en segundo plano.

• Soporta los sistemas de archivo FAT, VFAT, FAT32 (a partir de Windows 95 ® OSR 2)y CDFS, (además de red).

• Proporciona manejo de memoria virtual, soporte de Drivers 32 bits.

• Esto proporciona un entorno para ejecutar aplicaciones 32 bits de manera concurrente, y proporcionando cierta seguridad, aunque no demasiada, puesto que se deja acceso al Hardware.

Windows 9x ®

ARQUITECTURA DEL KERNEL

Windows 9x ®

SEGURIDAD

Servicio Windows 95 ® Windows 98 ®

Authenticode Parche (IE4) SI

PPTP client Parche SI

PPTP server NO SI

Smart cards Parche SI

Crypto API Parche (IE4) SI

Microsoft Wallet Parche (IE4) SI

Seguridad a nivelde grupos

Parcial Parcial

Seguridad a nivelde ficheros

NO NO

Derechos yprivilegios

NO NO

Windows NT ®

PRESENTACION DEL SISTEMA

• Windows NT ® es un Sistema Operativo de 32 bits real, con multitarea preemptiva con preferencias.– Primer paso de la seguridad, a cada tarea le proporciona un espacio

independiente de memoria. Si una tarea se cuelga, no afecta a las otras.

• Soporta hilos de ejecución (multithreading). • Es un sistema multiprocesador (NT Server 32 procesadores y NT

Workstation soporta 2 procesadores).– Multiproceso simétrico (Todos los procesadores iguales).

• La versión 4 posee gran parte de los elementos de Windows 95 ®.

• Está diseñado para funcionar en red ya sea local, WAN o Internet.• NT protege al sistema operativo con dos espacios de direcciones

diferentes: kernel y usuario. Las aplicaciones no pueden acceder directamente al espacio del kernel, por lo que no podrán corromper código.

Windows NT ®

ARQUITECTURA DEL KERNEL

• La capa HAL (Hardware Abstraction Layer):– Virtualiza un entorno Hardware. – Hardware transparentes al resto del

S.O. – Esto proporciona portabilidad.

• La capa Kernel es el núcleo de la estructura de NT.

– Pequeño y eficiente.– Responsable de hilos y procesos.

• La capa Executive:– colección de módulos-kernel– Cada modulo, una función en

particular. – El Security Reference Monitor, trabaja

junto con los subsistemas protegidos para proporcionar un modelo de seguridad al sistema.

• Los subsistemas de entorno – Servidores protegidos– Proporcionan soporte nativo a otros

S.O.

Windows NT ®

SISTEMAS BASICOS DE SEGURIDAD

• Manejo de Errores y subsistemas protegidos.– NT tolera fallos y estos no afectan a otros componentes.

• Sistema de ficheros recuperable.– La E/S de disco se ve como una sola transacción. Ante fallos vuelve

atrás.

• Reinicio automático.– El sistema ante fallos puede configurarse para reinicio automático.

• Soporte para cintas de Backup.– Guardar Backup garantiza mínima perdida de datos.

• Soporte para S.A.I. (Sistemas de Alimentación Ininterrumpida)– Se avisa a los usuarios de un fallo de energía.

• Espejado de disco.– Copia idéntica de un disco seleccionado.

• Duplicidad de disco.– Espejado en otra unidad de disco.

• Conjunto de Bandas con paridad (DISK STRIPING).– División en bloques de datos, y puestos en un array con paridad.

Windows NT ®

SISTEMAS DE ARCHIVOSPARTICIONES

• El hacer particiones en un disco duro puede representar interesantes ventajas: – Flexibilidad: Si tenemos uno o varios discos con unas cuantas

particiones podremos crear nuevos volúmenes, ampliar el espacio en las unidades existentes, crear discos espejo, etc.

– Organización: es adecuado tener separados los grandes bloques de datos en distintas particiones de manera que nuestro árbol de directorios sea menos complicado y más intuitivo.

– Seguridad: para implementar niveles de seguridad RAID tendremos que disponer de diversas particiones y discos en nuestro sistema

– Rendimiento: en discos duros de gran tamaño formateados con FAT ganaremos espacio si hacemos un adecuado número de particiones.

Windows NT ®

SISTEMAS DE ARCHIVOSFAT

• Windows NT ® proporciona FAT para guardar la compatibilidad hacia atrás con antiguos sistemas MS-DOS.

• Es el mismo que proporcionaba Windows 95 ® en sus primeras versiones (VFAT).

• Es un sistema pequeño, sencillo y de poco consumo aunque tiene grandes fallos en lo referente a fragmentación.

• Necesita muchos recursos de entrada/salida.• Garantía contra la pérdida de datos en caso de un fallo en el

sistema en medio de una actualización de ficheros.

• NO POSEE NINGUN SISTEMA DE SEGURIDAD por lo que no es recomendable en sistemas NT.

Sector dearranque

FAT copia 1 FAT copia 2 Directorioraiz

Area de datos

Windows NT ®

SISTEMAS DE ARCHIVOSNTFS

• Fue diseñado exclusivamente para Windows NT ®.

• Seguridad integrada, que permite definir a qué usuarios se les conceden los permisos de lectura, modificación, etc.

• Modelo transaccional para operaciones con ficheros: mantiene un registro de las actividades, lo que permite restaurar el disco en caso de corte de suministro eléctrico u otro problema.

• Caché dinámico: soporta ficheros mayores de 264 bytes (17 millones de teras)

• Arquitectura de árbol • No son necesarias herramientas de desfragmentación. • Permite a los programas de MSDOS el acceso a disco cuando

son requeridos. • Permite la compresión de ficheros y directorios.

Windows NT ®


• Mantiene un nombre corto por cada fichero para su lectura MSDOS.

• Diferencia mayúsculas y minúsculas cuando se maneja desde programas UNIX, y no las diferencia cuando se maneja desde DOS y Windows.

• Soporta varios modelos de seguridad multiusuario. • Mantiene un fichero de actualización a los volúmenes de modo

que en caso de fallo del sistema la recuperación del estado anterior sea rápida.

• Diseñado especialmente para soportar volúmenes muy grandes. • Los tamaños de clúster van desde los 512 bytes a los 2K. Una

partición de 500M utiliza clústers de 512 bytes. • Admite compresor de datos tanto a nivel de fichero como de

directorio.

Windows NT ®


• CARACTERISTICAS DE SEGURIDAD:

• Usuarios y claves: En NT cada persona que quiera entrar al sistema, debe disponer de un usuario autorizado (dado de alta) para poder entrar, además de introducir una clave para autentificarse como ese usuario en particular. En cada sistema habrá uno o varios Administradores de recursos que tendrán mas derechos y privilegios que los demás.

• Atributos y Derechos/Permisos: Cada usuario es propietario de una serie de archivos y directorios, estos pueden ser compartidos con otros usuarios por medio de los derechos. El propietario (o alguien con los derechos apropiados) puede modificar los atributos de un archivo para dar derechos de lectura, escritura, etc. a otro/os usuario/os.

Windows NT ®


• Los permisos disponibles son:– Lectura– Escritura– Ejecución– Borrado– Cambio de permisos– Tomar posesión

Windows NT ®


• Permisos estándar para directorios

– Sin acceso: el grupo de usuarios seleccionado no tiene acceso.

– Listar: (RX) permite listar los archivos y subdirectorios del directorio y acceder a estos subdirectorios pero no permite leer los nuevos ficheros que se creen en este directorio.

– Lectura: (RX tanto en directorios como en archivos) Permite la lectura y ejecución de los archivos situados en el árbol de directorios.

– Agregar: (WX) No se le permite la lectura, se utiliza para crear directorios denominados “agujeros negros”, directorios donde se pueden depositar archivos pero nunca verlos.

– Agregar y leer: (RWX) permite además de lo anterior la lectura. Pero no se pueden eliminar.

– Cambio: (RWXD) permite todo tipo de operaciones sobre archivos salvo el cambio de permisos y la toma de posesión.

– Control total: (RWXDPO) Permite todo, ya que posee todos los permisos. Debe usarse con precaución.

Windows NT ®


• Permisos estándar para ficheros

– Sin acceso: Impide el acceso al archivo.

– Lectura: (RX) puede abrirse o ejecutarse (si es ejecutable) y permite ver los atributos del mismo.

– Cambio: (RWXD) permite cualquier operación sobre el fichero salvo toma de posesión y cambio de permisos.

– Control total: (RWXDPO) permite todo.

– Acceso especial: Permite aplicar personalmente cualquiera de los seis permisos individuales al fichero.

Windows NT ®

SISTEMAS DE ARCHIVOSVOLUMENES

• Son porciones de uno o varios discos duros que el sistema operativo trata como si fueran una sola unidad física, como si dijéramos un disco duro virtual.

• Podemos escribir y leer datos en ellas, formatearlas, buscar errores, etc.

• Para crear un conjunto de volúmenes se necesitan zonas de espacio disponible que no tienen por qué ser de igual tamaño, distribuidos hasta en 32 discos físicos diferentes, y pudiendo utilizar distintas tecnologías (IDE, ESDI, SCSI, etc.).

• Estas particiones no se leerán desde MSDOS, y no será posible utilizar estas particiones independientemente.

• Si queremos sacar una de las particiones del conjunto de volúmenes, perderemos el volumen entero, pero sí podemos añadir una nueva partición.

Windows NT ®

SISTEMAS DE ARCHIVOSVOLUMENES

• Un volumen puede abarcar: – Una partición primaria completa, la partición primaria sólo puede

albergar un volumen, de hecho el administrador de discos de NT identifica este tipo de volumen como "partición primaria".

– Un fragmento de una partición extendida, en una partición extendida podemos incluir tantos volúmenes cómo queramos, este tipo de volumen recibe el nombre de "unidad lógica" en el administrador de disco de NT.

– Distintos fragmentos de particiones primarias o extendidas en discos duros diferentes, el administrador de disco marcará este tipo de volumen como "conjunto de volúmenes".

• El administrador de discos de NT nos permite jugar con todas estas variables a nuestro antojo.

Windows NT ®

SEGURIDAD EN NTESTRUCTURA DE SEGURIDAD

• Objetivo de un sistema multiusuario es la compartición de recursos. Tanto local como en Red.

• NT gestiona sus propios recursos y sobre los que tiene derechos.

• El esquema de seguridad de NT Server se basa en dominio y en relaciones de confianza entre ellos.

• Un controlador de dominio es un caso especial de servidor de red. Actúa simultáneamente como servidor y como cliente. Por tanto es capaz de gestionar tanto recursos del dominio propio y otros en los que posea confianzas

Windows NT ®

SEGURIDAD EN NTDOMINIOS

• Dominios: Un dominio es una estructura perfectamente organizada de equipos, recursos y usuarios, mantenida de forma centralizada por un único servidor (en su forma más sencilla).

El dominio de NT Server es la unidad administrativa de los servidores de directorio. Dentro de un dominio el administrador crea una cuenta para cada usuario que contiene información sobre éste, su pertenencia a grupos e información del plan de seguridad. A través de la estructura de dominios los servidores de NT Server ofrecen algunas ventajas:

– Un único inicio de sesión de usuario: los usuarios de red pueden conectarse a servidor con un único inicio de sesión.

– Administración de red centralizada: de toda la red desde cualquier estación permite realizar un seguimiento y administrar la información sobre usuarios, grupos y recursos.

– Acceso universal a los recursos: una cuenta de usuario de un dominio y una contraseña es todo lo que precisa un usuario para utilizar los recursos disponibles de toda la red. Aunque los servicios de directorio resultan transparentes, responderán cuando se utilicen comandos de NT Server para administrar las cuentas de usuarios y grupos.

Windows NT ®


• En realidad, un dominio no tiene por qué tener un solo servidor. La jerarquía de servidores en un sistema con varios de ellos será:

PDC: Uno solo por dominio.

BDC: Posiblemente varios.• Los datos sobre los usuarios se guardan en una base de datos llamada

SAM (disponible en cualquier servidor).• No obstante, cuando un usuario se da de alta en un servidor, lo hace

en el PDC. Éste se encargará de actualizar esta SAM de forma periódica en el resto de servidores del dominio (replicación).(replicación).

• Gracias a esto, un usuario podrá acceder a todos los servidores del dominio con el mismo password y nombre.

Windows NT ®

SEGURIDAD EN NTDOMINIOS (Relaciones de confianza)

• Se dice que un dominio A confía en otro B (o hay una relación de confianza de A a B) cuando cualquier usuario autorizado en B puede entrar sin más en el dominio A.

• Aquí aparece el importante concepto de grupos:Grupo local: Grupo de usuarios de manera que cualquier usuario

del grupo puede entrar y acceder a los recursos del dominio al que pertenece el grupo.Un grupo local se define como perteneciente a un dominio.

Grupo global: Igual que el anterior, pero puede ser visto también por todos los dominios que confían en el dominio al que pertenece el grupo.

Windows NT ®


• Modelos de dominios

– Modelo de dominio simple: Es el típico esquema en el que solo existe un dominio, y en el que existe un único controlador principal de dominio. Puede existir además un controlador de dominio de reserva. Al no ser necesario establecer relación de confianza, la relación de los grupos resulta más sencilla., y lo convierte en el modelo más fácil de gestionar. Al tener un dominio único, todos los administradores de la red pueden controlar todos los recursos, usuarios, etc. de la red. Por este motivo podemos encontrar otra causa para una división de la red en distintos dominio, permitiendo tener administradores que controlen elementos parciales de la red.

Windows NT ®


– Dominio maestro: Todos los dominios confían en un único dominio, soportando éste la gestión de todos los usuarios y grupos del conjunto. Si definimos grupos globales y establecemos relaciones de confianza de esos dominios con el maestro, podremos incluir los grupos globales del maestro en locales de los otros dominios, con los permisos que se deseen.Este tipo de organización tiene las siguientes ventajas:

Administración centralizada

Administración única de los recursos por el dominio maestro.

Organización en una estructura lógica de los recursos, que puede seguir además la de los departamentos de la empresa.

Capacidad de definición de derechos para todos los usuarios de la red, y los dominios que lo deseen pueden permitir que otros usuarios administren los recursos locales.

– Modelo de dominio maestro múltiple: Existe más de un dominio maestro. Todos los dominios maestros confían en todos (pero solo los maestros). Cada usuario hace entrada en el dominio en el que fue creado. Las características de este dominio son las mismas que las del único y además, permite formar redes de cualquier número de usuarios.

Windows NT ®

SEGURIDAD EN WINDOWS NT COMPONENTES DE SEGURIDAD NT

• En un sistema como Windows NT, todos los recursos han de ser gestionados únicamente por el sistema operativo.

• Se cumple la premisa de seguridad "hacia delante" • Los tres puntos que definen esta idea son los siguientes:

– Solamente NT tiene plenos derechos de acceso al hardware. – Cada usuario que accede a un equipo debe ser autentificado por el

sistema. A esta característica se le llama inicio obligatorio (mandatory logon)

– Cada recurso del sistema está asociado con una lista de control de acceso (ACL: Access Control List) en la que se incluyen los usuarios que pueden acceder a él.

• El subsistema de seguridad se compone de las siguientes partes:– Autoridad de seguridad local (LSA: Local Security Authority).

Autentificar usuarios durante el proceso de entrada.– Gestor de la seguridad de cuentas (SAM: Security Account

Manager) mantiene la base de datos de seguridad de las cuentas.– Monitor de referencia de seguridad (SRM) que se encarga de

reforzar la validación y directivas de seguridad establecidas por el LSA.

Windows NT ®

ARQUITECTURA DE RED PARA CLIENTES

• Los usuarios son identificados y autenticados antes de garantizarles acceso a cualquier recurso del sistema. Los subsiguientes accesos a los recursos son controlados por Listas de Control de Acceso.

• Windows NT Workstation permite ejecutar aplicaciones no fiables sin riesgo de corromper el sistema operativo o otras aplicaciones.

• Windows NT Workstations también tienen la necesidad de comunicarse de forma segura con los servidores. Una funcionalidad segura del canal es proveída por Secure Distributed Component Object Model (Modelo de Componentes de Objetos Distribuido Seguro) y Secure Sockets Layer (Capa Segura de sockets).

Windows NT ®


• AUTENTICACION– Windows NT Workstation requiere una autenticación consistente

en usuario/password antes de que un usuario pueda acceder a cualquier recurso del sistema.

– Las contraseñas son almacenadas en la forma encriptada de Windows NT.

– NT nos permite un amplio conjunto de herramientas para no perder de vista las cuentas en nuestro sistema aquí tienes algunas de las opciones más interesantes que se pueden configurar desde el administrador de usuarios:

• Duración de contraseña. • Longitud de contraseña. • Bloqueo de cuentas.

– Otras opciones para evitar el uso indebido de cuentas son limitar horas de uso, poner fecha de caducidad a las cuentas, limitar el acceso sólo desde ciertas máquinas...

Windows NT ®


• CONTROL DE ACCESO

– El sistema de control de acceso de Windows NT permite a los usuarios determinar, basándosedo en el nombre de usuario, qué otros pueden acceder a los archivos, directorios, dispositivos y cualquier otro objeto poseídos (controlados) por este usuario. El control de acceso no sólo se limita a archivos y dispositivos, cubre todos los objetos del sistema (incluyendo procesos, memoria, el escritorio, timers, servicios y muchos más objetos).

– Las aplicaciones que se lanzan en Windows NT pueden sólo establecer los controles de acceso a los objetos que ellas creen.

Windows NT ®


• AUDITORIA

– El sistema de auditorías de Windows NT es capaz de auditar el uso de cualquier objeto del sistema.

– La auditoría puede ser activada o desactivada en cualquier momento por el administrador y ofrece un significativo grado de flexibilidad (como la posibilidad de auditar basándonos sólo en uno o más objetos, o uno o más usuarios). El registro de la auditoría es consistente y guardado en el mismo formato tanto en el servidor como en el cliente.

– Los administradores pueden decidir con antelación qué hacer cuando el registro de la auditoría esté lleno. Soluciones posibles son desconectar el sistema o sobreescribir el registro y continuar.

– La bitácora de auditoría puede ser vista usando el Windows NT Event Viewer (Visor de sucesos).

Windows NT ®


– El registro de sucesos es accesible desde el menú inicio->Programas->Herramientas administrativas. En el Panel de Control se encuentra el registro en "Servicios" con el nombre EventLog.

– El visor se encarga de registrar los sucesos relacionados con las siguientes áreas:

• Sistema. • Seguridad. • Aplicación.

– Las bitácoras de auditoría son protegidas de accesos no autorizados con Listas de Control de Acceso, las cuales permiten a los administradores especificar qué usuarios individuales tendrán acceso a las bitácoras y de qué tipo será ese acceso.

Windows NT ®


• PARTICIONAMIENTO DE SEGURIDAD:

– El núcleo de seguridad de Windows NT está protegido de las aplicaciones usando el concepto de dominios de ejecución. Las aplicaciones se ejecutan en el dominio de ususario, mientras que el núcleo de seguridad se ejecuta en el dominio del kernel. Los límites de dominio son impuestos por el hardware de administración de memoria. El kernel puede tener acceso a todas las direcciones en ambos dominios, pero el hardware previene el acceso de aplicaciones del dominio de usuario en el espacio del kernel. Como resultado, aplicaciones erróneas no pueden hacer caer el sistema operativo, corromperlo o confundirlo. Además, cada aplicación tiene su propio espacio de direcciones que es aislada del espacio de todas las demás aplicaciones, protegiéndola de ellas y a ellas de ésta.

Windows NT ®


• CLIENTES AUTENTICADOS SEGUROS:– Las workstation clientes deberían ser capaces de formar una red

de forma segura. Esto previene el que un usuario malicioso introduzca una “máquina mala”. Windows NT Workstation tienen que ser autorizadas y compartir un secreto con el controlador de dominio con el fin de constituir parte de un dominio. Esto asegura que sólo clientes autenticados de Windows NT pueden usar y participar en el dominio de Windows NT.

• COMUNICACIONES SEGURAS:

– Las workstation necesitan ser capaces de comunicarse de forma segura con los servidores o entre ellas mismas. Esto puede ayudar a defraudar a cualquier hacker que intente esnifarse el tráfico que circula por el cable. Windows NT proporciona tecnología criptográfica built-in para comunicaciones seguras.

Windows NT ®


• ADMINISTRACION DE SEGURIDAD:

– El último requerimiento de un cliente seguro es la posibilidad de manejar la seguridad fácil y efectivamente con herramientas consistentes.

– Windows NT provee de un número de herramientas de administración de seguridad (Editor de la Política del Sistema –System Policy Editor-, Editor de Configuración de Seguridad –Security Configuration Editor-, Consola de Administración de Microsoft –Microsoft Management Console-, entre otros). Todas estas herramientas presentan un interfaz consistente, familiar y fácil de usar. No hay necesidad de formar a los administradores en otras herramientas de administración quizás menos conocidas. Todas estas herramientas usan el interfaz gráfico de Windows, tan familiar a todos.

Windows NT ®

SERVIDOR DE ARCHIVOS

• Un servidor de archivos permite a las aplicaciones de los workstation clientes compartir archivos y recursos de impresión controlados por él mismo. Como tal, necesita ser capaz de proteger dichos recursos con un sistema completo de control de acceso. También se necesita facilidad a la hora de detectar intentos de acceso no permitidos mediante la auditoría.

Windows NT ®


• AUTENTICACIÓN:

– Las contraseñas están protegidas usando técnicas de encriptado que salvaguardan las mismas tanto almacenadas, como en tránsito. Windows NT siempre requiere autenticación del usuario. Windows NT puede ser configurado para restringir conexiones a la red. También puede ser configurado para restringir el acceso para específicas cuentas y a ciertas horas. De todas maneras, hay información más completa sobre esto en el apartado de cliente.

– Windows NT tiene el concepto de Secuencia de Atención Segura –Secure Attention Sequence- (un camino confiable para la acción de conectarse) que asegura que la penetración de un hacker en forma de caballo de Troya es imposible. Los sistemas basados en Windows NT pueden ser bloqueados. Así pues, el usuario no puede apagar la máquina desde la consola, y la secuencia de arranque puede ser configurada para arrancar siempre desde el disco duro, con el fin de impedir arrancar otro sistema operativo.

Windows NT ®


• CONTROL DE ACCESO:

– Windows NT proporciona control de acceso sobre los objetos que el servidor controla. Los usua-rios pueden especificar qué otros usuarios (o grupos de usuarios) pueden leer, escribir o modifi-car los objetos del sistema.

– En Windows NT, cada objeto protegido está representado por el mismo tipo de estructura y la determinación de acceso a un objeto usa el mismo mecanismo de control de acceso (monitor de referencia de seguridad).

– En resumen, es muy confiable, y la implementación de un solo mecanismo de control de acceso para todos los objetos protegidos es propio de productos de seguridad con una alta calidad.

Windows NT ®


• AUDITORÍA:

– El registro de auditoría de Windows NT es consistente entre el cliente y el servidor, y puede ser visto de forma local en cada cliente o servidor, usando el GUI-based Event Viewer. El acceso al registro de auditoría está controlado por el DAC (lista de control de Acceso).

– Información más completa al respecto en la parte del cliente.

• PARTICIONAMIENTO DE SEGURIDAD:

– Windows NT usa el dominio de ejecución del modo kernel para contener el SO y las aplicaciones de usuario se ejecutan en el modo usuario. El modo usuario no puede tener acceso al modo kernel excepto mediante intefaces bien controlados. También explicado en el apartado de cliente.

Windows NT ®

SERVIDOR DE APLICACIONES

• La arquitectura de seguridad de un servidor de aplicaciones necesita contemplar los rasgos discutidos en las secciones anteriores y algunos más. Entre ellos se encuentran:– La habilidad de proteger el S.O. y las aplicaciones implementando

y imponiendo particiones de seguridad.– La habilidad de minimizar riesgos asignando privilegios de sistema

operativo a las aplicaciones con un alto grado de granularidad y control; resultando ser las menos privilegiadas las aplicaciones de usuario.

– La habilidad de extender el perímetro seguro proveyendo a los diseñadores de aplicaciones de facilidades para incorporar la probada funcionalidad del sistema operativo en sus aplicaciones.

Windows NT ®


• PARTICIONES DE SEGURIDAD:

– Muchas de las invasiones por hacker más efectivas se han consumado introduciendo código ejecutable en el sistema objetivo (ya sea en forma de caballo de Troya, virus, o gusano. Por consiguiente, el SO del servidor debe tener la habilidad de autoprotegerse tanto como sea posible de programas erróneos o de estos programas introducidos por indeseables. Para ello se usan las particiones de seguridad.

– La arquitectura de Windows NT parte el sistema en dos espacios de direcciones distintos (kernel y usuario).

– Las aplicaciones se ejecutan en el espacio de usuario y no pueden acceder directamente al código o datos del espacio del kernel. Si una aplicación falla por causa de un error, el sistema operativo no se ve afectado.

– Las contraseñas y otros datos importantes son mantenidos sólo en el espacio protegido del kernel.

– Además, desplegar aplicaciones no confiables (no evaluadas) en Windows NT Server no viola las exigencias del certificado C2 de seguridad (el cual ostenta NT y será visto más adelante).

Windows NT ®


• CONTROL DE PRIVILEGIO:

– La restricción de privilegios en Windows NT está implementada mediante muchos mecanismos:

• Dominios separados para el núcleo y los usuarios. Las aplicaciones ejecutándose en el dominio de usuario tienen un espacio de direcciones limitado.

• Los privilegios de un grupo o de un usuario pueden ser restringidos por el administrador (el usuario hereda los derechos del grupo al que pertenece).

• El modelo de seguridad permite a la aplicación suplantar al cliente cuando accede a recursos en el servidor. Este rasgo asegura que las aplicaciones tienen sólo los privilegios y derechos del cliente particular.

– Estos rasgos del sistema operativo proveen de un nivel de granularidad fino sobre los privilegios del sistema que cualquier aplicación posee. El resultado es que una aplicación gana sólo los privilegios necesarios para llevar a cabo su función, limitándose el daño que puede resultar de una aplicación de mal comportamiento.

Windows NT ®


• EXTENSIBILIDAD:

– Cuando se desarrollan y se despliegan aplicaciones en una intranet o en Internet, es importante que el S.O. oferte tanta funcionalidad para seguridad como pueda ser necesitada por las aplicaciones (si es posible). Así, el S.O. puede proporcionar un conjunto consistente de funciones de seguridad, que han sido evaluadas, testeadas y probadas para trabajar correctamente.

– Los servicios exportados por Windows NT están diseñados para ofrecer extensibilidad, portabilidad y consistencia. Los diseñadores de aplicaciones pueden usar Interfaces de Programador de Aplicaciones (APIs) para implementar autenticación del usuario, chequeos de control de acceso a los objetos, y comunicaciones autenticadas seguras con otros servidores. La posibilidad de integrar esto en las aplicaciones, permite una solución de seguridad más robusta y extendida.El programador no tiene que crearse sus propios mecanismos.

Windows NT ®

SERVIDOR DE APLICACIONESEXTENSIBILIDAD

• Algunos de los mecanismos de seguridad de Windows NT hacen posible a los programadores de aplicaciones incluir:

– Security Support Provider Interface (SSPI) / Interfaz de Proveedor de Soporte de Seguridad:

• El SSPI proporciona una interfaz común entre las aplicaciones de la capa de transporte y los proveedores de seguridad.

• El SSPI es un API común bien definido para obtener servicios integrados de seguridad en autenticación, integridad y privacidad de mensajes, y seguridad de servicio para cualquier protocolo de aplicación distribuida.

• Los diseñadores de protocolos pueden aprovechar este interfaz para obtener diferentes servicios de seguridad sin necesidad de modificar el protocolo.

• Los diseñadores de aplicaciones pueden usar este servicio para acceder a las credenciales de seguridad y para estar seguros de que sólo los usuarios autenticados tienen acceso a la aplicación.

Windows NT ®


– Graphical Identification and Autentication (GINA) / Identificación y Autenticación Gráficas:

• Además de la autenticación usuario/password, Windows NT tiene un interfaz llamado GINA que permite integrar métodos de autenticación adicionales en Windows NT. Existe una amplia gama de métodos de autenticación alternativos, como certificados digitales, tarjetas de identificación o biométricos. Estos métodos serán fácilmente disponibles si se usa el interfaz estándar GINA.

– Impersonation / Suplantación:• La suplantación permite al programa ejecutarse en el contexto de

seguridad del usuario. El contexto de seguridad define qué acceso tiene el usuario a los objetos y servicios del sistema.

• Permitiendo a un programa la suplantación, el sistema se asegura de que el usuario asociado con el proceso cliente tiene los derechos para ejecutar la acción pedida del servidor.

Windows NT ®


– Autenticated RPC / RPC Autenticado:

• La llamada a procedimiento remoto (RPC) en NT es autenticada, así proporciona soporte para procesamiento distribuido usando la autenticación del cliente y el servidor. Cuando el cliente desea llamar a un procedimiento ubicado en una máquina diferente, el sistema de RPC efectúa la conexión a la máquina remota mediante un protocolo de autenticación, verificando la identidad del cliente al servidor.

– Control Access / Control de Acceso: • Para un objeto con la seguridad activada existirá un ACL (Access

Control List) compuesta por entradas de control de acceso (ACE, Access Control Entries) que identifican a un usuario o grupo que tiene permisos asignados sobre él.

• Las primeras que se leen son las ACEs que deniegan el acceso, y después vienen las que lo permiten. Los diseñadores de aplicaciones pueden definir sus propios objetos, y el subsistema de seguridad de Windows NT ejecutará chequeos de acceso en cualquier momento que un cliente pida acceso al objeto. Como resultado, objetos definidos por programadores de aplicaciones, tienen el mismo nivel de seguridad que los objetos de Windows NT.

Windows NT ®


– Criptography Services / Servicios de Criptografía:

• Windows NT incorpora un conjunto de APIs (CryptoAPI) para criptografía basada en Public Key incluyendo funcionalidad de encriptado, hashing, firmas digitales y certificación digital. Los algoritmos industriales estándar RSA Public Key son proporcionados en los sistemas y éstos pueden ser extendidos mediante módulos de criptografía ofertados por otros vendedores.

Windows NT ®

CERTIFICADO C2

• El estándar más ampliamente reconocido para la seguridad comercial y de gobierno es el el Departamento de Defensa de los EE.UU. Llamado Criterio Fiable de Evaluación de Sistemas de Computadores (a menudo conocido como el Libro Naranja).

• Una de las clases de seguridad definidas en él es la C2 (aceptada como estándar comercial).

• Un sistema de la clase C2 posee las siguientes características de seguridad:– Control de Acceso.– Auditoría.– Reutilización de objetos.– Identificación y Autenticación.– Arquitectura del sistema.

• El organismo que evalúa los sistemas es el NCSC.

Windows NT ®

CERTIFICADO C2SISTEMA DE RED CONFIABLE

Protección frente a modificaciones: Las aplicaciones no pueden modificarlo (el TCB) o hacerlo funcionar indebidamente, ya sea de forma directa o indirecta.

No derivable: No deben existir vías para rodear la seguridad impuesta por el TCB. Esto es, no hay caminos alrededor del sistema, salvo por mecanismos no publicados o puertas de atrás.

Debe ser lo bastante simple como para ser examinado fácilmente: La complejidad del TCB es crítica, porque todo el código contenido en él debe ser analizado y testeado detalladamente. Cuanto más complejo sea el sistema, más difícil es estar seguro de que trabaja como pretendemos y que no hay agujeros.

Windows NT 3.5 completó y superó la evaluzación C2 para SS.OO. Si bien, no se evaluó para trabajar con redes. Desde entonces, Windows NT 4.0 comenzó una evaluación C2 como SO de red. La evaluación actual cubre todos los componentes de red. El sistema está siendo evaluado como una red de servidores y workstations de Windows Nt y PDC y PBC.

Windows NT ®

COMPARATIVA NT - NETWARE SERVIDOR DE APLICACIONES

Caracteristicas deSeguridad

Windows NT 4.0 IntranetWare 4.11

Particiones deSeguridad

Subsistema deseguridadprotegido deaplicacionesmaliciosas yerroneas.

Aplicacionesprotegidas de otrasaplicaciones.

SI

SI

NO

NO

Restricciones yPrivilegios

Limitar privilegios dela aplicacion.

SI NO

CertificacionEvaluacion C2 Como sistema

operativoindependiente. Sistemade red en progreso.

Como componente deuna red

AuditingAlways record user IDin audit records.

SI NO

AutenticacionSiempre se requiereLogin/Password

SI NO

ExtensibilidadEjecucion deaplicaciones noprivilegiadas

SI Viola el C2.

Windows NT ®

COMPARATIVA NT - NETWARECLIENTE DE RED

Caracteristica de Seguridad Windows NT4.0

NetWare

Autenticacion Privilegios individuales por usuario Usuario/password Password encriptado Fuerte refuerzo password Restricciones de maquinas especificas Restricciones de usar un tiempo especifico Posibilidad de usar autentificacion de

terceros

SI SI SI SI SI SI SI

SI SI SI SI SI SI NO

Control de Acesso ACL en archivos y dispositivos ACL en objetos de memoria

SI

SI

SI

NO

Auditoria Auditoria de eventos de autenticación Auditoría de acceso a recursos y ficheros Auditoria de eventos del S.O. Herramientas de auditoria basadas en GUI

SI SI SI SI

SI SI NO NO

Particion de seguridad Protección de S.O. Protección de aplicaciones

SI

SI

NO

NOManejo de Seguridad Herramientas de admón. Dasadas en GUI

Mismas herramientas para clientes yservidores

SI SI

NO NO

Comunicaciones Seguras Integracion para una comunicación segura SI SI

Clientes autentificados yseguros

Entrada segura a dominios SI NO

Windows NT ®

COMPARATIVA NT - UNIX

Windows NT UNIXAutenticacion Requerido antes de entrar al sistema

Camino fiable (Trusted path)Login/password por defectoPuede encriptar el archivo de clavesGINA disponible para añadir mecanismosAutenticación de aplicaciones distribuidas

Requerido antes de entrar al sistemaCamino no fiableLogin/password por defectoPuede ocultar el archivo de clavesMecanismos de terceros de forma especificaParche Kerberos

Control de Aceso Control de acceso discreccionalImplementado en Motor de Referencia deSeguridadListas de control de acceso27 derechos de usuario asignables

Control de acceso discreccionalImplementado en sistema de ficheros y partes delkernelBits de Usuario/Grupo/OtroMecanismo de superusuario y SETUID

Responsabilidad ID de SeguridadMantenido a traves de cliente-servidor

ID dce usuarioMantenido a traves de cliente-servidor en ciertasaplicaciones

Auditoria Registro de EventosArchivo de registro simpleConjunto extenso de eventos

Multiples registros de eventos especificosConjunto de eventos limitadosParches para la extensión de auditoría deseguridad

Particiones deseguridad

Dominios de seguridad separadosDirecciones separadas de usuario y kernelDirecciones individuales por procesoImplementación en un solo moduloObjects cleared prior to reuse

Dominios de seguridad separadosDirecciones separadas de usuario y kernelDirecciones individuales por procesoImplementación distribuidaObjects cleared prior to reuse

Integridad ACLs protegen el S.O.Authenticode para verificar codigoCAPI para aplicacionesUtilidades de disponibilidad del sistema deficheros integradas

Los bits de modo protegen el S.O.Sin mecanismos de verificación de codigoGSS-API para aplicacionesParches para utilidades de disponibilidad delsistema de ficheros

Confidencialidad CAPI para aplicacionesRPC SegurasPPTP y SSLParche IPSEC

GSS-API parches para aplicacionesRPC SegurasHerramientas SSLParche IPSEC

Manejabilidad Baja seguridad por defectoConjunto de herramientas simples,GUIconsistente con otras herramientas deadministraciónSe requiere poca destreza

Baja seguridad por defectoConjunto de herramientas de multiples empresas,sin consistencia con otras herramientas deadministraciónSe requiere una alta destreza

Windows 2000 ®

¿QUE SON LOS SERVICIOS DE SEGURIDAD?

• Tres principios de diseño fundamentales:– Administración central: La seguridad requiere simplicidad. Los

administradores pueden manejar las cuentas de usuarios y sus controles de acceso desde una ubicación central, y delegar tareas de administración de seguridad.

– Despliegue flexible: La seguridad requiere flexibilidad. Como las compañías han extendido sus negocios a Internet, a menudo no pueden hacer suposiciones sobre la identidad, integridad y plataforma de acceso de sus usuarios. Por esta razón, Windows 2000 da a luz mecanismos de autenticación interoperativos y flexibles que verifican la identidad de los usuarios externos y controlan de forma segura su acceso a los sistemas internos de la compañía.

– Imposiciones consistentes: La seguridad requiere consistencia. Una vez que la identidad del usuario ha sido verificada, es importante que el acceso a los recursos sea configurado e impuesto de una sola manera, para simplificar el manejo e incrementar la seguridad. Windows 2000 emplea solo un modelo de control de acceso consistente, que está integrado con el protocolo estándar de Internet Kerberos para autenticación en redes.

Windows 2000 ®

COMO TRABAJAN LOS SERVICIOS DE SEGURIDAD

• Manager de Configuración de Seguridad: Es una herramienta de configuración y análisis de seguridad, permitiendo a los administradores de la red instalar opciones del registro de seguridad, controles de acceso a archivos o registro de claves, así como definir configuraciones de seguridad para los servicios del sistema. Permite a lso administradores crear plantillas de configuración de seguridad y aplicarlas a las computadoras seleccionadas en una operación.

• Active Directory: Ofrece un punto de control de usuarios, dispositivos y aplicaciones único y consistente.– Organiza la información como una jerarquía para simplificar el proceso de

búsqueda, utilización y gestión de la seguridad de los recursos de la red. – Las cuentas para los usuarios, grupos y máquinas pueden ser organizadas

en contenedores directorios llamados OUs. Un dominio puede tener cualquier nº de OUs, organizadas en una estructura de árbol.

– El Active Directory soporta mucha más cantidad de objetos usuario con mejor rendimiento que el Registro usado en el NT antiguo.

Windows 2000 ®


– Almacenando la información de seguridad en el Service Directory significa que los usuarios y grupos son representados como objetos en el directorio. Los derechos de lectura/escritura a los objetos pueden garantizarse en conjunto, o a propiedades individuales del objeto. El concepto de los grupos está también simplificado, porque grupos locales y globales son ambos representados como objetos grupo en el directorio.

– El Active Directory, tiene la posibilidad de proporcionar información a múltiples Controladores de Dominio, de replicación (las modificaciones pueden hacerse en cualquier controlador de dominio, no es preciso que sea el primario –PDC- Las réplicas del Active Directory en otros Controladores se actualizarán automáticamente) y está disponible para administración remota.

Windows 2000 ®


• Mecanismos Flexibles de Autenticación:Windows 2000 soporta múltiples mecanismos de autenticación para probar la identidad de los usuarios cuando entran en la red. Por ejemplo, puedes autenticar tus clientes desde Internet con los certificados estándar x.509 y autenticar a los usuarios internos con el familiar user/password. Para factores extras de autenticación puedes usar además smart cards o credenciales biométricas.

• Método de Autorización Consistente: Windows 2000 usa ACLs, que están colocadas con el dispositivo y determinan qué usuarios y grupos tienen acceso. Por ejemplo, los archivos llevan ACLs con ellos hasta si son movidos por el sistema de archivos. De forma similar, los objetos en el directorio (como usuarios), tienen ACLs almacenadas con ellos en el directorio. Un usuario pide un archivo, el SO compara el “ticket” del usuario con el ACL del archivo y garantiza el acceso apropiado.

Windows 2000 ®


– Cada recurso tiene una barrera de seguridad individual. Los hackers gastarán muchas energías colándose en cada recurso, tanta como para tener carta blanca de acceso suplantando a un superusuario del sistema.

– Este método de autorización está integrado con el protoclo de autenticación Kerberos para dar un servicio de seguridad más eficiente, de mejor nivel para el tráfico de la red.

– Kerberos está basado en “tickets” y reduce enormemente la autenticación repetida en cada recurso de la red. Kerberos autentica los dos, el cliente y la red, protegiendo contra la posibilidad de hackers suplantando un servidor para entrar a la red.

• Ejemplo:– El usuario quiere un recurso (archivo p. Ejemplo) – Envía un ticket Kerberos al servidor con la información de credenciales del usuario incluida en él. – El servidor recibe el ticket y mira las credenciales.– El sistema opertivo comprueba las credenciales con el ACL en el archivo (en este caso).– Si el usuario tiene acceso, se le devuelve el archivo.– Este método es usado para acceder a todos los objetos de Windows 2000. Lo cual proporciona una

forma uniforme, simple y segura de acceso a los mismos.

Windows 2000 ®


• Encripting File System (EFS): EFS es el corazón de la tecnología para almacenar los archivos y directorios Windows NT (NTFS) de manera encriptada en el disco. Basado en la tecnología public key, EFS se ejecuta como un servicio integrado en el sistema, de fácil manejo, difícil de atacar y transparente al usuario.

• Protocolo de autenticación Kerberos: La versión 5 del protocolo de autenticación Kerberos es un protocolo de autenticación distribuido. Reemplaza al NTLM, usado en Windows NT Server 4.0 como el protocolo primario de seguridad para acceso a los recursos dentro de o a través de los dominios de Servidor de Windows 2000. – No obstante, la transición de NTLM a Kerberos no es demasiado brusca,

porque Windows 2000 todavía soporta conexiones usando ese protocolo.

Windows 2000 ®


• Soporte para Transport Layer Security (TLS): TLS, como Kerberos, es un protocolo de seguridad distribuido basado en el estándar de seguridad de Internet.TLS puede usar diferentes cifrados, dependiendo del cliente conectado. El texto cifrado es incomprensible hasta que no se ha desencriptado con una clave. Pro defecto, todos los cifrados son permitidos, sin emvbargo, el administrador puede limitar el nº de los mismos que se podrán usar.

• Sigue estando disponible el SSPI: (ver NT).

Windows 2000 ®

BENEFICIO DE LOS SERVICIOS DE SEGURIDAD

• El Active Directory de Windows 2000 permite a las compañías disminuir notablemente los costes de administración al haber un solo camino para administrar la seguridad de los usuarios, grupos y recursos de la red, así como certificados y configuraciones de seguridad. La administración integrada de seguridad oferta las siguientes ventajas:– Delegación de administración.– Administración basada en Políticas de Grupos.– Control de acceso.– Política de control de autenticación.

Windows 2000 ®

COMUNICACIONES SEGURAS ENTRE COMPAÑIAS

• PPTP/L2TP: Permite a las empresas usar Internet como redes privadas virtuales para comunicaciones seguras y autenticadas. PPTP/L2TP permite a los usuarios remotos conectarse a sus corporaciones usando internet, en lugar de caras líneas arrendadas. Ipsec oferta la plataforma ideal para salvaguardar las comunicaciones intranet e Internet. Windows 2000 Server integra herméticamente Ipsec con las políticas del sistema para reforzar el encriptado entre los sistemas. Los usuarios pueden tener comunicaciones con política de grupos protegidas con el encriptado de las mismas. Al estar Ipsec integrado en el sistema operativo, es más fácil de configurar y manejar que posibles soluciones añadidas.

Bibliografía

• www.microsoft.com

S EGURIDAD EN S ISTEMAS M ICROSOFT ® Windows 9x ® Windows NT ® Windows 2000 ® Fco. Javier...

Documents

Transcript of S EGURIDAD EN S ISTEMAS M ICROSOFT ® Windows 9x ® Windows NT ® Windows 2000 ® Fco. Javier...