El XTS-400 es un sistema operativo de computadora seguro multinivel . Es multiusuario y multitarea que utiliza programación multinivel en el procesamiento de datos e información. Funciona en entornos de red y es compatible con Gigabit Ethernet e IPv4 e IPv6 .
Desarrollador | BAE Systems |
---|---|
Estado de trabajo | Actual |
Modelo fuente | Fuente cerrada |
Último lanzamiento | 8.2 / ??? |
Plataformas | x86 x86-64 |
Tipo de grano | Núcleo monolítico |
Página web oficial | www.baesystems.com |
El XTS-400 es una combinación de hardware Intel x86 y el sistema operativo Secure Trusted Operating Program ( STOP ) . XTS-400 fue desarrollado por BAE Systems y originalmente lanzado como versión 6.0 en diciembre de 2003.
STOP proporciona seguridad de alta garantía y fue el primer sistema operativo de uso general con una calificación de nivel de garantía de Criterios Comunes de EAL5 o superior. [1] El XTS-400 puede albergar, y ser de confianza para, conjuntos de datos, usuarios y redes separados, múltiples y simultáneos a diferentes niveles de sensibilidad.
El XTS-400 proporciona un entorno no confiable para el trabajo normal y un entorno confiable para el trabajo administrativo y para aplicaciones privilegiadas. El entorno que no es de confianza es similar a los entornos Unix tradicionales . Proporciona compatibilidad binaria con aplicaciones de Linux que ejecutan la mayoría de los comandos y herramientas de Linux, así como la mayoría de las aplicaciones de Linux sin necesidad de volver a compilar. Este entorno que no es de confianza incluye una GUI del sistema X Window , aunque todas las ventanas de una pantalla deben tener el mismo nivel de sensibilidad.
Para respaldar el entorno confiable y varias características de seguridad, STOP proporciona un conjunto de API patentadas a las aplicaciones. Para desarrollar programas que utilicen estas API propietarias, se necesita un entorno de desarrollo de software especial (SDE). El SDE también es necesario para portar algunas aplicaciones complicadas de Linux / Unix al XTS-400.
Desde entonces, se ha introducido una nueva versión del sistema operativo STOP, STOP 7 [2] , que afirma haber mejorado el rendimiento y nuevas características como RBAC .
Usos
Como sistema MLS de alta seguridad, el XTS-400 se puede utilizar en soluciones de dominio cruzado , que normalmente necesitan que se desarrolle una pieza de software privilegiado que pueda eludir temporalmente una o más funciones de seguridad de forma controlada. Tales piezas están fuera de la evaluación CC del XTS-400, pero pueden acreditarse.
El XTS-400 se puede utilizar como escritorio, servidor o puerta de enlace de red. El entorno interactivo, las herramientas de línea de comandos típicas de Unix y una GUI están presentes para respaldar una solución de escritorio. Dado que el XTS-400 admite múltiples conexiones de red simultáneas con diferentes niveles de sensibilidad, se puede utilizar para reemplazar varios equipos de escritorio de un solo nivel conectados a varias redes diferentes.
Para respaldar la funcionalidad del servidor, el XTS-400 se puede implementar en una configuración de montaje en rack , acepta una fuente de alimentación ininterrumpida (UPS), permite múltiples conexiones de red, acomoda muchos discos duros en un subsistema SCSI (también guarda bloques de disco usando una implementación de archivos dispersos en el sistema de archivos ) y proporciona una herramienta de copia de seguridad / guardado confiable. El software de servidor, como un demonio de Internet, se puede portar para que se ejecute en el XTS-400.
Una aplicación popular para sistemas de alta seguridad como el XTS-400 es proteger el flujo de información entre dos redes de diferentes características de seguridad. Varias soluciones de protección para el cliente están disponibles basadas en sistemas XTS.
Seguridad
XTS-400 versión 6.0.E completó una evaluación de Criterios Comunes (CC) en marzo de 2004 en EAL4 aumentada con ALC_FLR.3 (informe de validación CCEVS-VR-04-0058). La versión 6.0.E también cumplió con los perfiles de protección titulados Seguridad etiquetada Perfil de protección (LSPP) y Perfil de protección de acceso controlado (CAPP), aunque ambos perfiles se superan en funcionalidad y seguridad.
XTS-400 versión 6.1.E completó la evaluación en marzo de 2005 en EAL5 aumentado con ALC_FLR.3 y ATE_IND.3 (informe de validación CCEVS-VR-05-0094), todavía conforme a LSPP y CAPP. La evaluación de EAL5 + incluyó el análisis de canales encubiertos y análisis y pruebas de vulnerabilidad adicionales por parte de la Agencia de Seguridad Nacional .
XTS-400 versión 6.4.U4 completó la evaluación en julio de 2008 en EAL5 aumentado con ALC_FLR.3 y ATE_IND.3 (informe de validación CCEVS-VR-VID10293-2008), también conforme a LSPP y CAPP. Al igual que su predecesor, también incluyó el análisis de canales encubiertos y análisis y pruebas de vulnerabilidad adicionales por parte de la Agencia de Seguridad Nacional .
Las publicaciones oficiales para todas las evaluaciones del XTS-400 se pueden ver en la Lista de productos validados. [3] [4]
La principal característica de seguridad que distingue a STOP de la mayoría de los sistemas operativos es la política de confidencialidad obligatoria. El soporte para una política de integridad obligatoria también distingue a STOP de la mayoría de MLS o sistemas confiables. Mientras que una política de confidencialidad se ocupa de prevenir la divulgación no autorizada, una política de integridad se ocupa de prevenir la eliminación o modificación no autorizada (como el daño que podría intentar un virus ). Los usuarios normales (es decir, que no son de confianza) no tienen la facultad de cambiar los niveles de sensibilidad o integridad de los objetos. Los modelos formales de Bell – LaPadula y Biba son la base de estas políticas.
Tanto las políticas de confidencialidad como las de integridad se aplican a todos los usuarios y todos los objetos del sistema. STOP proporciona 16 niveles de sensibilidad jerárquica, 64 categorías de sensibilidad no jerárquicas, 8 niveles de integridad jerárquica y 16 categorías de integridad no jerárquicas. La política de confidencialidad obligatoria aplica el modelo de clasificación de confidencialidad de datos del Departamento de Defensa de los Estados Unidos (es decir, "Sin clasificar", "Secreto", "Alto secreto"), pero se puede configurar para entornos comerciales.
Otras características de seguridad incluyen:
- Identificación y autenticación , que obliga a los usuarios a identificarse y autenticarse de forma única antes de utilizar cualquier servicio del sistema o acceder a cualquier información; la identificación del usuario se utiliza para decisiones de control de acceso y para la rendición de cuentas a través del mecanismo de auditoría;
- Control de acceso discrecional (DAC), que aparece igual que en Unix , incluida la presencia de listas de control de acceso en cada objeto; la función set-id se admite de forma controlada;
- Un obligatoria subtipo política, que permite a algunas de las funcionalidades de los sistemas de confianza que soportan una completa aplicación de tipo o de la aplicación del tipo de dominio de políticas;
- Auditoría de todos los eventos relevantes para la seguridad y herramientas confiables para permitir a los administradores detectar y analizar posibles violaciones de seguridad;
- Ruta confiable , que permite al usuario estar seguro de que está interactuando directamente con las funciones de seguridad confiables (TSF) durante operaciones sensibles; Esto impide, por ejemplo, un caballo de Troya de spoofing el proceso de inicio de sesión y robar la contraseña de un usuario;
- Aislar el código del sistema operativo y los archivos de datos de la actividad de usuarios y procesos que no son de confianza, lo que, en particular, evita que el malware corrompa o afecte de otro modo el sistema;
- Separación de procesos entre sí (para que un proceso / usuario no pueda alterar los datos internos y el código de otro proceso);
- Funcionalidad del monitor de referencia , de modo que ningún acceso pueda eludir el escrutinio del sistema operativo;
- Fuerte separación de roles de administrador, operador y usuario utilizando la política de integridad obligatoria;
- Mecanismos de información residual (es decir, reutilización de objetos) para evitar la búsqueda de datos;
- Herramientas confiables y evaluadas para configurar el sistema, administrar datos críticos para la seguridad y reparar sistemas de archivos;
- Autocomprobación de los mecanismos de seguridad, bajo demanda;
- Exclusión de los servicios de red de capa superior de la TSF, de modo que la TSF no sea susceptible a las vulnerabilidades conocidas públicamente en esos servicios.
STOP viene en un solo paquete, por lo que no hay confusión sobre si un paquete en particular tiene todas las características de seguridad presentes. Las políticas obligatorias no se pueden deshabilitar. La configuración de políticas no requiere un proceso potencialmente complicado de definir grandes conjuntos de dominios y tipos de datos (y las reglas de acceso del asistente).
Para mantener la confiabilidad del sistema, el XTS-400 debe ser instalado, arrancado y configurado por personal confiable. El sitio también debe proporcionar protección física de los componentes de hardware. El sistema y las actualizaciones de software se envían desde BAE Systems de forma segura.
Para los clientes que los deseen, XTS-400 admite una unidad criptográfica de soporte de misión (MSCU) y tarjetas Fortezza . La MSCU realiza criptografía de tipo 1 y ha sido examinada por separado por la Agencia de Seguridad Nacional de los Estados Unidos .
Hardware
La evaluación CC obliga a utilizar hardware particular en el XTS-400. Aunque esto impone restricciones a las configuraciones de hardware que se pueden utilizar, son posibles varias configuraciones. El XTS-400 utiliza solo componentes estándar de PC, comerciales listos para usar (COTS), a excepción de una unidad criptográfica de soporte de misión (MSCU) opcional.
El hardware se basa en una unidad de procesamiento central (CPU) Intel Xeon ( P4 ) a velocidades de hasta 2,8 GHz, que admite hasta 2 GB de memoria principal.
Se utiliza un bus de interconexión de componentes periféricos (PCI) para tarjetas complementarias como Gigabit Ethernet . Se pueden realizar hasta 16 conexiones Ethernet simultáneas , todas las cuales se pueden configurar en diferentes niveles obligatorios de seguridad e integridad.
Se utiliza un subsistema SCSI para permitir la conexión de varios periféricos de alto rendimiento. Un periférico SCSI es un lector de tarjetas de PC compatible con Fortezza . Se pueden incluir varios adaptadores de host SCSI .
Historia
El XTS-400 ha sido precedido por varios antepasados evaluados, todos desarrollados por el mismo grupo: Procesador de comunicaciones seguras (SCOMP), XTS-200 y XTS-300. Todos los productos predecesores fueron evaluados bajo los estándares de Trusted Computer System Evaluation Criteria (TCSEC) (también conocido como Orange Book ). SCOMP completó la evaluación en 1984 al más alto nivel funcional y de garantía en ese momento: A1. Desde entonces, el producto ha evolucionado desde interfaces y hardware patentados hasta hardware básico e interfaces Linux.
El XTS-200 fue diseñado como un sistema operativo de propósito general que admite una aplicación y un entorno de usuario similares a Unix . XTS-200 completó la evaluación en 1992 en el nivel B3.
El XTS-300 pasó de hardware de minicomputadora patentado a COTS, hardware Intel x86. XTS-300 completó la evaluación en 1994 en el nivel B3. XTS-300 también pasó por varios ciclos de mantenimiento de calificaciones (también conocido como RAMP), muy similar a un ciclo de continuidad de garantía bajo CC, y finalmente terminó con la versión 5.2.E que se evaluó en 2000.
El desarrollo del XTS-400 comenzó en junio de 2000. El principal cambio visible para el cliente fue la conformidad específica con la API de Linux . Aunque las características de seguridad del sistema XTS imponen algunas restricciones a la API y requieren interfaces propietarias adicionales, la conformidad es lo suficientemente cercana como para que la mayoría de las aplicaciones se ejecuten en el XTS sin volver a compilarse. Se agregaron o mejoraron algunas características de seguridad en comparación con versiones anteriores del sistema y también se mejoró el rendimiento.
A partir de julio de 2006, se siguen realizando mejoras en la línea de productos XTS.
El 5 de septiembre de 2006, las Oficinas de Patentes de los Estados Unidos otorgaron a BAE Systems Information Technology, LLC. Patente de los Estados Unidos # 7,103,914 "Sistema informático confiable".
Arquitectura
STOP es un sistema operativo de kernel monolítico (como lo es Linux). Aunque proporciona una API compatible con Linux, STOP no se deriva de Unix ni de ningún sistema similar a Unix . STOP tiene muchas capas, está altamente modularizado y es relativamente compacto y simple. Estas características han facilitado históricamente evaluaciones de alta seguridad.
STOP está dividido en cuatro anillos y cada anillo se subdivide en capas. El anillo más interno tiene privilegios de hardware y las aplicaciones, incluidos los comandos privilegiados, se ejecutan en el más externo. Los tres anillos internos constituyen el núcleo . Se evita que el software de un anillo exterior altere el software de un anillo interior. El kernel es parte del espacio de direcciones de cada proceso y es necesario tanto para los procesos normales como para los privilegiados.
Un kernel de seguridad ocupa el anillo más interno y privilegiado y hace cumplir todas las políticas obligatorias. Proporciona un entorno de proceso virtual, que aísla un proceso de otro. Realiza toda la programación de bajo nivel, administración de memoria y manejo de interrupciones. El núcleo de seguridad también proporciona servicios de E / S y un mecanismo de mensajes IPC . Los datos del núcleo de seguridad son globales para el sistema.
El software de servicios de sistema de confianza (TSS) se ejecuta en el anillo 1. TSS implementa sistemas de archivos, implementa TCP / IP y hace cumplir la política de control de acceso discrecional en los objetos del sistema de archivos. Los datos de TSS son locales para el proceso dentro del cual se está ejecutando.
Los servicios del sistema operativo (OSS) se ejecutan en el anillo 2. OSS proporciona una API similar a Linux a las aplicaciones, además de proporcionar interfaces propietarias adicionales para usar las características de seguridad del sistema. OSS implementa señales, grupos de procesos y algunos dispositivos de memoria. Los datos de OSS son locales para el proceso dentro del cual se está ejecutando.
El software se considera de confianza si realiza funciones de las que depende el sistema para hacer cumplir la política de seguridad (por ejemplo, el establecimiento de la autorización del usuario). Esta determinación se basa en el nivel de integridad y los privilegios. El software que no es de confianza se ejecuta en el nivel de integridad 3, con todas las categorías de integridad o inferiores. Algunos procesos requieren privilegios para realizar sus funciones; por ejemplo, el servidor seguro necesita acceder a la base de datos de autenticación de acceso de usuario, que se mantiene en un nivel alto del sistema , mientras establece una sesión para un usuario con un nivel de sensibilidad más bajo.
Posibles debilidades
El XTS-400 puede proporcionar un alto nivel de seguridad en muchos entornos de aplicaciones, pero se hacen concesiones para lograrlo. Las posibles debilidades de algunos clientes pueden incluir:
- Menor rendimiento debido a una modularidad y capas internas más rígidas y a controles de seguridad adicionales;
- Menos funciones a nivel de aplicación disponibles listas para usar;
- Es posible que sea necesario realizar algunos cambios en el nivel de fuente para ejecutar aplicaciones complicadas;
- La interfaz de usuario confiable no utiliza una GUI y tiene funciones de línea de comando limitadas;
- Opciones de hardware limitadas;
- No apto para entornos integrados o en tiempo real.
Referencias
- ^ http://www.commoncriteriaportal.org/products/
- ^ PARE 7
- ^ [1]
- ^ [2]
enlaces externos
- Sitio web oficial , BAE
- Página de producto validada XTS-400 EAL5 +
- XTS-400 EAL5 + página de producto validada archivada
- XTS-400 EAL4 + página de producto validada archivada
- Patente de los Estados Unidos 7,103,914: Sistema informático confiable
- Documento sobre la necesidad de sistemas operativos seguros y seguridad obligatoria
- Monterey Security Architecture (MYSEA) , un proyecto de escuela de posgrado naval que utilizó el sistema operativo STOP
- Descripción general de XMPP y entorno de información colaborativa de dominio cruzado (CDCIE) , intercambio de información multinacional en entornos de dominio único y de dominio cruzado (utiliza STOP OS)