Unidad 2 - Fundamentos de Seguridad Logica

Unidad II
Definiciones
Fundamentos de Seguridad
Lgica
Seguridad Prctica en Redes. Cdigo: B19
Riesgos, Amenazas y Ataques
Mitigacin de Riesgos
Riesgo
Reducir la probabilidad de que una amenaza explotar una

vulnerabilidad.
La posibilidad de que ocurra algo adverso
Se realiza con la implementacin de controles..
Amenaza
Incluso si una amenaza no se puede prevenir, como un tornado, el

riesgo se puede reducir con controles tales como seguros, planes
de evacuacin, etc.
Toda violacin potencialmente factible de

las polticas de seguridad
Controles
Ataque
Controles de acceso..
Todo intento consumado de violacin de las

polticas de seguridad
Planes de recuperacin de desastres y continuidad de negocio.
Software antivirus.
Amenazas: Taxonomas
Sistema Seguro
La implementacin plasma perfectamente lo especificado por la
poltica de seguridad
Filtracin
Acceso no autorizado
Fabricacin
La poltica de seguridad debe particionar inequvocamente al
Provisin de informacin falsa
conjunto de estados del sistema en: Seguro o No Seguro

Los mecanismos de seguridad no deben permitir la transicin a
un estado No Seguro del sistema
Disrupcin
Interrupcin de servicio
Usurpacin
Control no autorizado de un sistema
Clasificacin de Mecanismos
Los mecanismos de seguridad pueden ser seguros, precisos o
amplios
Sea el conjunto de posibles estados del sistema
Sea el conjunto de estados seguros del sistema (segn polticas)
Supongamos que el mecanismo de seguridad M restringe los
estados del sistema a , subconjunto de .
Entonces el mecanismo M es:
Confianza
Seguro, si
Preciso, si
Amplio si un estado de , tal que
Hiptesis de Confianza
Confianza en Todas las Etapas

Especificacin
Cada mecanismo implementa una parte de la poltica de

seguridad
La unin de todos los mecanismos implementa todos los

aspectos de la poltica
Diseo
Los mecanismos estn implementados correctamente
Implementacin
Los mecanismos son instalados y administrados correctamente
Detalla formal o informalmente el funcionamiento deseado del

sistema
Traduce la especificacin en componentes que la implementarn
Materializa el diseo en algo que lo satisface
Operacin
Mantiene el sistema funcionando en condiciones aceptables
Modelado de Adversarios
10
Modelado de Adversarios:
Insiders vs Outsiders
Disponibilidad de recursos
Se requiere la diferenciacin de al menos dos modelos de adversario:
Nivel de acceso al sistema

Nivel de riesgo que estn dispuestos a tolerar
Outsider
Objetivos que persiguen al atacar al sistema
Bajo nivel de acceso a la informacin reservada

Acceso escaso o nulo a recursos corporativos
Alto nivel de acceso a informacin reservada
Punto de partida para la planificacin

de cualquier sistema de seguridad !
Insider
Alto acceso a recursos corporativos de la

organizacin
Favorecido por el tradicional modelo de confianza
11
12
Referencias
Matt Bishop; Computer Security. Art and Science; Addison

Wesley; 2003
Ross Anderson; Security Engineering; Wiley; 2001.
Morrie Gasser; Building a Secure Computer System; Van

Nostrand Reinhold; 1988.
NIST; An Introduction to Computer Security: The NIST

Handbook; NIST Special Publication
John Wylder; Strategic

Publications; 2004
Information
Security;
Aurbach
13
Trusted Computing Base
Parte del sistema (incluyendo HW y SW) responsable de la

imposicin de las polticas de seguridad del sistema
seguridad depende nicamente de:
Una TCB constituida de esta forma tiene varias ventajas:

verificar con cierta exhaustividad su funcionamiento.
Todas las referencias a los recursos protegidos pasan por la
Los mecanismos presentes en ella

Los valores de entrada provistos por los administradores para
los parmetros relacionados con la seguridad
Cualquier elemento de HW o SW fuera de la TCB no es

responsable de imponer la seguridad y se debe asumir que es
potencialmente hostil
Por lo tanto, es esencial definir la TCB al momento de crear la
arquitectura de un sistema de cmputo
14
Es relativamente pequea lo que implica que es posible
La capacidad de la TCB de imponer correctamente la poltica de
TCB: Ventajas
Debe ser un subsistema lo ms simple y acotado posible
TCB
15
TCB (no dependemos que un desarrollador implemente

seguridad).
Es fcil proteger la TCB de modificaciones no autorizadas.
La TCB es desarrollada por especialistas.
Se concentran las decisiones de diseo por lo cual se
pueden re-implementar diferentes polticas de seguridad con

mayor simplicidad.
16
Referencias

Wesley; 2003

AAA
17
tres
Autenticacin
Alguna forma de AAA debe estar implementada en la TCB.
Proceso por el cual un sistema verifica una

identidad pretendida (correspondencia entre
identidad real e identidad digital)
Derechos de acceso otorgados a un sujeto.
La separacin clara y precisa de estos conceptos implica una

modularizacin igualmente clara, conveniente y efectiva de la
TCB.
Autorizacin
Auditora
18
AAA: Definiciones
Autenticacin, Autorizacin y
Auditora
Autenticacin, Autorizacin y Auditora (AAA) son
mecanismos bsicos de cualquier sistema de seguridad.
19
Control de acceso: mecanismo por el cual un

sistema verifica que un sujeto est autorizado
a acceder a un recurso.
Proceso por el cual se registran los eventos de

seguridad.
20
Autenticacin
Lo que uno sabe
Lo que uno tiene
Autenticacin
Lo que uno es
Lo que uno puede hacer
Donde uno est
Combinando cualquiera de estos factores
autenticacin de doble factor, de triple factor, etc
21
La Contrasea Ideal
se
tiene
22
Contraseas Reales
Algo que SOLO el usuario conoce, que la computadora
puede verificar y que nadie ms puede adivinar,

independientemente del poder de cmputo que tenga
El problema es que en la prctica es muy difcil acercarse a
este ideal!
Dada la imposibilidad de contar con contraseas ideales, se toman ciertos

recaudos para lograr este tipo de autenticacin viable
Condiciones:
Longitud Mnima: 8 caracteres
Impedir palabras de diccionario
Forzar la duracin mxima de las contraseas (valor relacionado con la
potencia mxima de cmputo del adversario)
Tpico conflicto entre seguridad y usabilidad

'Your password must be at least 18770 characters and cannot
repeat any of your previous 30689 passwords'
Forzar la duracin mnima de la contrasea

Composicin Obligatoria:
Microsoft Knowledge Base Article 276304
Al menos una letra minscula

Al menos una letra mayscula
Al menos un nmero
Al menos un smbolo
http://support.microsoft.com/kb/276304
Forzar la No Repeticin de las ltimas 10 contraseas
23
24
Crackeando Contraseas
Crackeando Contraseas (2)
Segn estudios de 1993, basados en una estimacin de capacidad de

cmputo como para probar 6,4 millones de contraseas por segundo*
en un ataque por fuerza bruta, se tienen las siguientes tablas:
Numberofeightcharacterpasswords
Numberofpasswordsforeachlength
Type of Password
Length Number of Passwords

Number of passwords
Cracking Time
1
62
Not nearly enough
Try this by hand
2
3844
Three thousand
Almost no time
3
238328
One quarter of a million
Less than one second
4
14776336
Fourteen million
Two seconds
5
916132832
Almost one billion
Two and a half minutes
6
56800235584
Fifty six billion
Two and a half hours
7
3521614606208
Three and a half trillion
One week
8
218340105584896
Two hundred trillion
One year
9
13537086546263552
Thirteen quadrillion
Seventy years
10
839299365868340224 Eight hundred and forty quadrillion
Forty centuries
11
52036560683837093888
Lots
A quarter of a million years
12
3226266762397899821056
Even more
Sixteen million years
7-bit ASCII
Printable Characters
Letters and Numbers
Letters only
Lowercase with one Uppercase
Lowercase only
English words: eight letters or longer
Number of
Number of
Cracking Time
Characters
passwords
128
72057594037927936 Three hundred and fifty years
95
6634204312890625
Thirty three years
62
218340105584896
One year
52
53459728531456
Ninety six days
26/special
1670616516608
Three days
26
208827064576
Nine hours
special
250000
Less than one second
Hoy esas estimaciones son bastante ms pesimistas por varias razones!
25
26
Crackeando Contraseas: Rainbow Tables
Crackeando Contraseas (3)
Recordemos que las funciones hash no son matemticamente
Los valores estimativos de los tiempos de cracking han

disminuido sensiblemente con respecto a lo indicado en las
tablas anteriores, fundamentalmente por las siguientes razones:
La capacidad siempre creciente de las plataformas de

cmputo (ley de Moore)
La computacin distribuida (distributed cracking)
El concepto de Rainbow Tables
invertibles (one-way functions)

Supongamos que el ofensor accede al archivo de hashes de
contraseas (antiguamente /etc/passwd en linux, SAM en MS-Win*) y

de all quiere recuperar las contraseas offline. Normalmente el
cracking llevara mucho tiempo de cmputo (pero poca memoria!)
Se podra pensar en pre-computar una tabla cuyas entradas seran
de la forma:
Contrasea -> Hash(Contrasea)
pero esto requerira un almacenamiento enorme! (aunque el

cracking se conseguira en tiempo prcticamente nulo)
El problema del tiempo de cmputo se traslada a un problema de
espacio en memoria
27
28
Crackeando Contraseas: Generando Rainbow Tables
Crackeando Contraseas: Usando Rainbow Tables
Como se arman las RT?

Como se usan las RT?
Parto de una contrasea (contrasea1) arbitraria
Dado el Hash (hash1) cuya contrasea quiero averiguar, lo

busco en los hashes finales de cada cadena
Hash(contrasea1)
Reduce(Hash(contrasea1))=contrasea2
As sucesivamente hasta llegar a computar varios miles de
contraseas encadenadas de esta forma (pensemos en 10K)
De dicha cadena, solo guardo en memoria la contrasea1 y el
Hash(contrasea10k)
Armo otra cadena repitiendo los pasos I al V (repitiendo este paso
una gran cantidad de veces)
donde Hash: es la funcin Hash empleada en el sistema a crackear
Si est, comienzo a generar las contraseas comenzando de

la contrasea original de esa cadena, hasta dar con la que
genera hash1
Si no est, repito los
Hash(Reduce(hash1))=hash2
pasos
anteriores
sobre:
Si la RT no es lo suficientemente grande, la bsqueda puede
fallar
Si la bsqueda es exitosa, se logra en unos cuantos segundos!
y Reduce: es una funcin que mapea un hash en una contrasea

vlida segn la poltica del sistema
29
30
Salt Bits
Proteccin contra Rainbow Tables: Salt Bits
En el servidor o aplicacin se guarda para cada usuario lo

siguiente:
nombre de usuario
Salt Bits (cadena random de N bits)
Hash (contrasea + Salt Bits)
Cuando el usuario se quiere autenticar, el servidor le recuerda los

salt bits correspondientes (mecanismo Challenge-Response)
Evita que dos usuarios con iguales contraseas tengan el mismo
hash y agrega complejidad a los ataques basados en diccionario:
el cracker debera generar tantas RTs como posibles Salt Bits
existan!
Los SSOO modernos cuentan con este tipo de proteccin
Las aplicaciones modernas usan NONCES

31
32
Autenticacin: SSO
Autenticacin:
HW Token y Smartcards
En entornos corporativos se obliga al usuario a recordar un nmero
importante de contraseas
Dispositivos porttiles supuestamente

inviolables
Dada la imposibilidad humana en recordar muchas contraseas
robustas, se suele requerir un nico set de credenciales (Single

Sign-On) para autenticarse a una plataforma AAA comn, desde
donde el usuario podr acceder a los distintos aplicativos con los
permisos correspondientes
Pueden contener certificados digitales, firmas

digitales, claves o anillos de claves
Se provee software que realiza las
operaciones criptogrficas de soporte
La ventaja obvia es la simplicidad para el usuario y la posibilidad
de emplear polticas de alta robustez para las contraseas
Cuentan con proteccin de acceso al sistema

de archivos, que evitan la manipulacin
indiscriminada de datos desde el SO (blindaje
La desventaja es que cuando se compromete la contrasea del
usuario, el atacante tiene acceso inmediato a todos los derechos

de la vctima
de datos contenidos en el dispositivo)

33
34
Autenticacin Mutua
Ambas entidades en una sesin se autentican antes de
intercambiar datos.
Por ejemplo, el cliente y el servidor
Autorizacin
MS-CHAPv2 utiliza autenticacin mutua.
35
36
DAC
Filosofas de Control de Acceso

en SSOO
Cada objeto tiene un propietario
Discretionary Access Control (DAC)
A cada objeto se le asocia una lista de control de acceso (ACL)
El propietario de un objeto puede delegar sus permisos en otro sujeto.
A cada sujeto se le asocia una lista de grupos
Originator Controlled Access Control (ORCON)
El propietario puede alterar la ACL
El creador de un objeto puede delegar sus permisos en otro sujeto.
El propietario puede ceder la propiedad de un objeto que le pertenece
Mandatory (Rule-Based) Access Control (MAC)

El propietario u originador de un objeto NO puede delegar sus
permisos en otro sujeto, sino que el administrador es quien configura
las reglas de acceso -siguiendo la poltica de seguridad- y el SO las
implementa.
Role-Based Access Control (RBAC)

Control de acceso basado en el rol que tiene el sujeto en el sistema.
Es discrecional pues el dueo, a su discrecin, puede determinar quin

accede sus propiedades y en qu modos, y puede ceder la propiedad de
sus objetos
Poltica de seguridad discrecional: poltica de seguridad en la cual los
usuarios ordinarios pueden estar involucrados en la definicin de las
funciones de la poltica y/o en la asignacin de atributos de seguridad.
Unix, Win2K y AS/400 tienen acceso tipo DAC (con algunas salvedades)
37
MAC
RBAC
Poltica de seguridad obligatoria: poltica de seguridad donde la

definicin de la lgica de la poltica y la asignacin de atributos
de seguridad es fuertemente controlada por el administrador de
la poltica
Aquella porcin de la seguridad obligatoria que se aplica al
control de acceso, es decir, el conjunto de reglas que prescriben
las formas permitidas a los sujetos para acceder objetos
38
39
Mtodo de control de acceso basado en el rol que tiene un
sujeto al momento de solicitar acceso a un recurso en

particular
Un
mismo sujeto puede tener diferentes roles, y en

consecuencia podr tener diferentes sets de permisos de
acceso, acorde a su rol
40
10
MLS
MLS: ejemplos
El sistema asigna a todos los sujetos y objetos etiquetas de
seguridad que no pueden ser alteradas (excepto por el

administrador) y que determinan su clase de acceso
El sistema decide si un sujeto puede acceder un objeto
comparando las etiquetas
CAbueno = (secret, {nato, nuclear, F14})

CAmalo = (confidential, {nato, nuclear})
CAO1 = (topsecret, {nato,nuclear,F14,crypto})
CAO2 = (confidential, {nuclear})
Los controles obligatorios se usan en conjuncin con los
discrecionales
CAO3 = (confidential, {nato,nuclear,F14})

CAO4 = (secret, {nsa,cia,fbi})
Etiqueta de seguridad: describe tanto el nivel de seguridad como
el conjunto de categoras
CAO2 < CAmalo < CAO3 < CAO5 = CAbueno < CAO1
Las etiquetas definen clases de seguridad

CAO5 = (secret, {nato,nuclear,F14})
41
42
ACLs
Mecanismos de Control de
Acceso en SSOO
Ejemplos:
Access Control Lists (ACLs)
acl(file 1) = { (process 1, { read, write, own }), (process 2, { append }) }
Lista qu sujetos tienen qu tipo de acceso sobre un dado objeto.
acl(file 2) = { (process 1, { read }), (process 2, { read, own }) }
Capability Lists (C-Lists)

Lista, para un dado sujeto, que tipos de acceso tiene sobre distintos
objetos.
acl(process 1) = { (process 1, { read, write, execute, own }), (process 2, { read }) }

acl(process 2) = { (process 1, { write }), (process 2, { read, write, execute, own }) }
Access Control Matrix (ACM)

Lista que tipos de acceso tiene la lista de sujetos sobre todos los
objetos del sistema. Es una composicin de todas las ACLs del
sistema o de todas las CLs del sistema.
43
En Linux: setfacl y getfacl

En MS-WinXP: ACL en registro y carpetas
44
11
C-Lists
ACM
Ejemplo:
Ejemplos:
cap(process 1) = { (file 1, { read, write, own }), (file 2, { read }),
(process 1, {read, write, execute, own}), (process 2, { write }) }
cap(process 2) = { (file 1, { append }), (file 2, { read, own }),

(process 1, { read }), (process 2, {read, write, execute, own}) }
En Linux: SELinux (NSA)

45
Kerberos
Archivo 1
Archivo 2
Proceso 1
r,w,o
r,w,x,o
Proceso 2
r,o
r,w,x,o
Donde:
r: lectura
w: escritura
x: ejecucin
a: agregado
o: posesin
Proceso 1 Proceso 2
ACLs
CLists
46
Kerberos
Protocolo de autenticacin y autorizacin que involucra dos

Trusted Third Parties (TTPs) o entidades digitales de confianza,
en los que se delega la autenticacin de los usuarios y la emisin
de tickets de autorizacin a los recursos solicitados por los
usuarios
Los tickets emitidos tienen validez temporal y son especficos
para el acceso a cierto recurso solicitado (una vez verificado los
permisos de acceso del usuario sobre los mismos)
El usuario exhibe el ticket de autorizacin correspondiente al
servidor que desea acceder
47
48
12
Auditora (Accounting)
Es la provisin de servicios de resguardo de informacin o
trazabilidad de acciones de un sistema con fines forenses.
Es parte del soporte tecnolgico para determinar a posteriori
violaciones a las polticas de seguridad o para hacer debugging de
un cierto sistema o aplicacin.
En general consta de dos etapas: la registracin de eventos o
acciones (logging) y la auditora (auditing) o anlisis de tales eventos
o acciones.
Accounting
La registracin de eventos incluye una etiqueta de tiempo

(timestamp) que establece la hora exacta a la cual ocurri el evento.
Ambas etapas son cruciales para el anlisis post-mortem y son
fundamentales en todo sistema de seguridad
Es la aplicacin directa del principio de mediacin completa
49
Componentes
50
Qu se Registra?
Eventos que impliquen una violacin a las polticas de seguridad
Eventos del SO o de aplicaciones relacionados con la seguridad de
los mismos
Ejemplos:
Logger
Analyzer
Notifier /Reporter
Login de usuarios
Intentos fallidos de acceso
Logout de usuarios
Registro de
Eventos y Acciones
Anlisis de
registros
Notificacin y
Reporte deincidentes
Acceso a recursos
Transacciones en general
Intentos de escalamiento de privilegios
Estado de operacin de servicios
Escasez de ciertos recursos de sistema
etc
51
52
13
Saneamiento (Sanitation)
Muchas organizaciones tienen servicios externos de auditora o
de administracin de servicios, con lo que adems de los
recaudos de confidencialidad necesarios, tendrn que evaluar la
necesidad de saneamiento estratgico de datos
Esto requiere procesar los logs de manera de no perder
semntica, ocultando cierta informacin estratgica de la
organizacin
Clasificacin de Informacin
Dos formas de hacerlo:
53
54
Se definen los siguientes niveles de clasificacin de informacin,

en orden de criticidad decreciente:
El nivel de acceso de un sujeto (Security Clearance) es el que

determina hasta que nivel de clasificacin dicho sujeto puede
acceder
Ultra Secreta
(Ultra Secreto)
Secreta
Secreto
Confidencial
Confidencial
Sin Clasificar o Irrestricta
Irrestricto
55
56
14
Modelo de Integridad
Modelo de Confidencialidad
Propuesto por Bell-LaPadula a mediados de los '70
Propuesto por Biba a fines de los '70
No se permiten escrituras 'hacia abajo' ni lecturas 'hacia

arriba'
No se permiten lecturas 'hacia abajo' ni escrituras 'hacia

arriba'
secreto
confidencial
Escritura
irrestricto
secreto
confidencial
Lectura
Lectura
Escritura
57
Declasificacin de Informacin
irrestricto
58
Declasificacin de Informacin
Hay otros modelos ms complejos (Muralla China, Clark-Wilson).

Pero los modelos tericos puros no contemplan necesidades
reales
La DECLASIFICACION de informacin consiste en la
reasignacin de los niveles de clasificacin de un cierto objeto
La degradacin de nivel de clasificacin de un objeto no suele
representar un problema
La elevacin de nivel de clasificacin de un objeto es un
problema de solucin no trivial
Cuando un objeto pasa a manos de un sujeto de nivel inferior al del
objeto queda instantneamente declasificado al nivel del sujeto
El
proceso debe ser supervisado por sujetos especialmente

designados a tal fin (Autoridades de Clasificacin de Informacin o
ACI)
En oportunidades, antes de declasificar la informacin, se somete a un
proceso de saneamiento (sanitization)
Esto respeta el principio de Mediacin Completa

Deben existir procedimientos que describan los pasos a seguir ante
cada tipo de objeto que es declasificado (impreso, archivo digital,

correo electrnico, etc)
Ante una declasificacin forzada (error en el tratamiento de la
informacin), todos los sujetos involucrados en el incidente deben

reportarlo en forma inmediata a la/s ACI/s.
59
60
15
Seguridad MultiNivel (MLS)
Referencias
Matriz de permisos de acceso que determina que sujetos acceden a
los distintos objetos ('compartimentalizar' la informacin)

La idea es definir dichos permisos basados exclusivamente en el
nivel de acceso del usuario (clearance) y el principio de mnimo

privilegio (necesidad de saber)
Matt Bishop; Introduction to Computer Security. Art and Science;

Prentice hall; 2004
Wesley; 2003
Solucin ms adecuada para entornos operativos con informacin
Ross Anderson; Security Engineering; Wiley; 2001.
Algunas

Dificultad operativa para administradores de sistemas, razn de su
NIST; An Introduction to Computer Security: The NIST

Handbook; NIST Special Publication
Se implementa en toda su dimensin casi con exclusividad en
John Wylder; Strategic

Publications; 2004
clasificada
implementaciones comerciales y fuente abierta, con

capacidades limitadas, disponibles
poca aceptacin
ambientes militares
61
Information
Security;
Aurbach
62
16

Unidad 2 - Fundamentos de Seguridad Logica

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Unidad 2 - Fundamentos de Seguridad Logica

Uploaded by

Copyright:

Available Formats

Unidad II

Seguridad Prctica en Redes. Cdigo: B19

Riesgos, Amenazas y Ataques

Seguridad Prctica en Redes. Cdigo: B19

Reducir la probabilidad de que una amenaza explotar una

La posibilidad de que ocurra algo adverso

Se realiza con la implementacin de controles..

Incluso si una amenaza no se puede prevenir, como un tornado, el

Toda violacin potencialmente factible de

Todo intento consumado de violacin de las

Planes de recuperacin de desastres y continuidad de negocio.

Seguridad Prctica en Redes. Cdigo: B19

Seguridad Prctica en Redes. Cdigo: B19

La poltica de seguridad debe particionar inequvocamente al

Provisin de informacin falsa

conjunto de estados del sistema en: Seguro o No Seguro

Seguridad Prctica en Redes. Cdigo: B19

Seguridad Prctica en Redes. Cdigo: B19

Seguridad Prctica en Redes. Cdigo: B19

Seguridad Prctica en Redes. Cdigo: B19

Confianza en Todas las Etapas

Cada mecanismo implementa una parte de la poltica de

La unin de todos los mecanismos implementa todos los

Los mecanismos estn implementados correctamente

Los mecanismos son instalados y administrados correctamente

Detalla formal o informalmente el funcionamiento deseado del

Traduce la especificacin en componentes que la implementarn

Materializa el diseo en algo que lo satisface

Seguridad Prctica en Redes. Cdigo: B19

Seguridad Prctica en Redes. Cdigo: B19

Nivel de acceso al sistema

Objetivos que persiguen al atacar al sistema

Bajo nivel de acceso a la informacin reservada

Alto nivel de acceso a informacin reservada

Punto de partida para la planificacin

Alto acceso a recursos corporativos de la

Seguridad Prctica en Redes. Cdigo: B19

Seguridad Prctica en Redes. Cdigo: B19

Matt Bishop; Computer Security. Art and Science; Addison

Ross Anderson; Security Engineering; Wiley; 2001.

Morrie Gasser; Building a Secure Computer System; Van

NIST; An Introduction to Computer Security: The NIST

John Wylder; Strategic

Seguridad Prctica en Redes. Cdigo: B19

Trusted Computing Base

Parte del sistema (incluyendo HW y SW) responsable de la

seguridad depende nicamente de:

Una TCB constituida de esta forma tiene varias ventajas:

Los mecanismos presentes en ella

los parmetros relacionados con la seguridad

Cualquier elemento de HW o SW fuera de la TCB no es

Es relativamente pequea lo que implica que es posible

La capacidad de la TCB de imponer correctamente la poltica de

Seguridad Prctica en Redes. Cdigo: B19

Debe ser un subsistema lo ms simple y acotado posible

TCB (no dependemos que un desarrollador implemente

pueden re-implementar diferentes polticas de seguridad con

Matt Bishop; Computer Security. Art and Science; Addison

Morrie Gasser; Building a Secure Computer System; Van

Seguridad Prctica en Redes. Cdigo: B19

Alguna forma de AAA debe estar implementada en la TCB.

Proceso por el cual un sistema verifica una

Derechos de acceso otorgados a un sujeto.

La separacin clara y precisa de estos conceptos implica una