20 12 201 3
This presentation is the property of its rightful owner.
Sponsored Links
1 / 136

Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος 20 12 -201 3 Εξάμηνο: Δ ’ PowerPoint PPT Presentation


  • 86 Views
  • Uploaded on
  • Presentation posted in: General

Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος 20 12 -201 3 Εξάμηνο: Δ ’. Ασφάλεια Υπολογιστών και Προστασία Δεδομένων Ενότητα Δ: Μοντέλα Εξουσιοδότησης ( Authorization ). Εμμανουήλ Μάγκος. Syllabus. Μοντέλα και Πολιτικές Ελέγχου Πρόσβασης (Εξουσιοδότησης)

Download Presentation

Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος 20 12 -201 3 Εξάμηνο: Δ ’

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


20 12 201 3

Ιόνιο ΠανεπιστήμιοΤμήμα ΠληροφορικήςΑκαδημαϊκό Έτος 2012-2013Εξάμηνο: Δ’

Ασφάλεια Υπολογιστών και

Προστασία Δεδομένων

Ενότητα Δ: Μοντέλα Εξουσιοδότησης (Authorization)

Εμμανουήλ Μάγκος


Syllabus

Syllabus

  • Μοντέλα και Πολιτικές Ελέγχου Πρόσβασης (Εξουσιοδότησης)

    • Έλεγχος ροής κυκλοφορίας (information flow control)

    • Πολιτικές MAC, DAC, RBA

  • Έλεγχος Πρόσβασης Συστήματος και Ασφάλεια Λ.Σ

    • Το μοντέλο Ασφάλειας των Windows

  • Άλλα Θέματα στον Έλεγχο Πρόσβασης

    • Επίπεδα Προστασίας

    • Κριτήρια για την Πρόσβαση

    • Διαχείριση Ελέγχου Πρόσβασης

    • Άλλα θέματα

  • Καταγραφή & Παρακολούθηση, Ανίχνευση

    • Logging and Monitoring

    • Intrusion Detection & Intrusion Prevention


20 12 201 3

1. Authorization &

Information Flow Control


Authorization

Έλεγχος Λογικής Πρόσβασης & Εξουσιοδότηση (Authorization)


Authorization1

Έλεγχος Λογικής Πρόσβασης & Εξουσιοδότηση (Authorization)

π.χ. πόροι που χρειάζονται προστασία (μνήμη, αρχεία, φάκελοι, υπηρεσίες, συσκευές,.)

Αντικείμενα (objects)

Υποκείμενα (Subjects)

Τύπος Πρόσβασης

π.χ. Εφαρμογές που ζητούν πρόσβαση σε πόρους, εν’ ονόματι μιας οντότητας (χρήστες, Ομάδες, Η/Υ..)

π.χ. Ανάγνωση, Εγγραφή, Εκτέλεση..

Πολιτική Εξουσιοδότησης: Κανόνες που καθορίζουν ποια

υποκείμενα έχουν τι είδους πρόσβαση σε ποια αντικείμενα


20 12 201 3

Έλεγχος Λογικής ΠρόσβασηςΣυστατικά Στοιχεία

op

op on o

s

Referencemonitor

o

s

Ταυτοποίηση

Καταγραφή

Εξουσιοδότηση

Ποιος είναι οs;

Τιopμπορεί να κάνει ο sστο o;

Τι έκανε (ή προσπάθησε να κάνει ο s;)


20 12 201 3

Έλεγχος Λογικής ΠρόσβασηςΣυστατικά Στοιχεία

  • Τεχνολογίες Αυθεντικοποίησης

    • Αυθεντικοποίηση Οντότητας (π.χ. Passwords, Challenge-Response,…)

  • Πολιτική Εξουσιοδότησης

    • Ένα μοντέλο καθορισμού των εξουσιοδοτημένων προσβάσεων

      • Πολιτικές DAC, MAC, RBAC,…

    • Σύνολο κανόνων που καθορίζει τι είδους πρόσβαση έχουν τα υποκείμενα σε άλλα υποκείμενα/αντικείμενα

  • Reference monitor

    • Επιβλέπει την υλοποίηση των πολιτικών εξουσιοδότησης

    • Αποτελεί κομμάτι του πυρήνα (kernel) του Λ.Σ

  • Καταγραφή και Παρακολούθηση

    • Ασφάλεια Αρχείων Καταγραφής και Πολιτικές Παρακολούθησης

    • Ανίχνευση και Αποτροπή Εισβολών (IDS, IPS)


Permissions

execute

append

read

write

observe

X

X

alter

X

X

Βασικές ΈννοιεςΔικαιώματα Πρόσβασης (Permissions)

Δικαιώματα Πρόσβασης στο μοντέλο ασφάλειας των Bell-LaPadula


20 12 201 3

Δικαιώματα ΠρόσβασηςΠερίπτωση: Unix

1 : Τύπος αρχείου.

2 – 4 : Τα δικαιώματα του ιδιοκτήτη (owner).

5 – 7 : Τα δικαιώματα της ομάδας (group).

8 – 10 : Ta δικαιώματα των υπολοίπων (world).


20 12 201 3

Δικαιώματα ΠρόσβασηςΠερίπτωση: Unix

  • Σε φάκελο:

  • read:λίστα περιεχομένων

  • write:δημιουργία, διαγραφή ή μετονομασία αρχείων του φακέλου

  • execute:Πρόσβαση στον φάκελο (enter, open files,..)

  • Σε αρχείο:

  • read: Ανάγνωση του αρχείου

  • write: Εγγραφή στο αρχείο

  • execute: Εκτέλεση του αρχείου


Access control matrix

Για μεγαλύτερη ευελιξία, ο καθορισμός των δικαιωμάτων μπορεί να είναι προσανατολισμένος:

Στα Αντικείμενα

Λίστες Ελέγχου Πρόσβασης

Στa υποκείμενα (principals)

Λίστες Δυνατοτήτων

Βασικές ΈννοιεςΠίνακας Ελέγχου Πρόσβασης (Access Control Matrix)

*

  • Αφηρημένη έννοια: Ένας πίνακας με υποκείμενα, αντικείμενα, & τις ενέργειες (δικαιώματα) των υποκειμένων στα αντικείμενα

  • Ζητήματα

    • Πλήθος υποκειμένων/ αντικειμένων (scalability)

    • Ένα υποκείμενο μπορεί να γίνει αντικείμενο σε κάποιο context


20 12 201 3

Ποια δικαιώματα έχουν ποια υποκείμενα επάνω σεένα αντικείμενο;

Ουσιαστικά αποτελεί θεώρηση ενός Πίνακα Ελέγχου Πρόσβασης ανά στήλες

Χρησιμοποιούνται ευρέως σε:

Λ.Σ., Β.Δ.,…

Εφαρμογές

Πολιτικές πρόσβασης σε δικτυακές συσκευές

Βασικές Έννοιες Λίστες Ελέγχου Πρόσβασης


Access control lists

Βασικές Έννοιες Λίστες Ελέγχου Πρόσβασης (Access Control Lists)

*


Access control lists1

Βασικές Έννοιες Λίστες Ελέγχου Πρόσβασης (Access Control Lists)

(Tanenbaum & Van Steen, 2007).


Capability lists

Βασικές ΈννοιεςΛίστες Ικανοτήτων (Capability Lists)

*


Capability lists1

Ποια δικαιώματα έχει ένα υποκείμενο επάνω σε ποια αντικείμενα;

Ουσιαστικά αποτελεί θεώρηση ενός Πίνακα Ελέγχου Πρόσβασης ανά γραμμές

Παραδείγματα

~Προνόμια χρηστών (Windows)

~Πιστοποιητικά ιδιοτήτων (attribute certificates),…

Βασικές ΈννοιεςΛίστες Ικανοτήτων (Capability Lists)

  • Το σύστημα επιτρέπει στο υποκείμενο την πρόσβαση σε ένα αντικείμενο, σύμφωνα με τη λίστα δυνατοτήτων


Capability lists2

Βασικές ΈννοιεςΛίστες Ικανοτήτων (Capability Lists)

(Tanenbaum & Van Steen, 2007).


Case attribute certificates

Λίστες ΙκανοτήτωνCase: Attribute Certificates

http://www.vf.utwente.nl/~summer/security.html


20 12 201 3

Μοντέλα Εξουσιοδότησης

TCSEC (DOD, 1985)

(NIST Standard, 2001)

«Κατά Διάκριση» (DAC – Discretionary Access Control): Προσανατολισμένο στην ταυτότητα του υποκειμένου

  • Διακριτικό: Ένα υποκείμενο μεταβιβάζει (ανακαλεί) δικαιώματα σε (από) άλλα υποκείμενα για αντικείμενα που «κατέχει»

    «Κατ’ απαίτηση» (MAC-Mandatory Access Control): Προσανατολισμένο στη διαβάθμιση αντικειμένων & υποκειμένων

  • Ετικέτες ασφαλείας (classification labels) στα υποκείμενα και τα αντικείμενα του συστήματος

  • Υποχρεωτικό: Ένα υποκείμενο δεν μπορεί να μεταβιβάσει δικαιώματα

    «Βασισμένη σε Ρόλους» (RBAC – Role based Access Control): Προσανατολισμένο στον ρόλο (ή ρόλους) που έχει ένα υποκείμενο

  • Ρόλος: σύνολο από ενέργειες-ευθύνες


Discretionary access control dac

Εξουσιοδότηση «Κατά Διάκριση» Discretionary Access Control (DAC)

  • Κάθε αντικείμενο (πόρος) έχει έναν ιδιοκτήτη (υποκείμενο)

  • Ο ιδιοκτήτης διαχειρίζεται (μεταβίβαση/ανάκληση) δικαιώματα πρόσβασης για

    • αντικείμενα που του ανήκουν, ή

    • αντικείμενα που δημιουργεί

  • …καθορίζει το είδος πρόσβασης

    • π.χ. ανάγνωση, εγγραφή, εκτέλεση

  • ...βάσει ταυτότητας υποκειμένουπου αιτείται πρόσβαση:

    • Όνομα (π.χ. SID), Group

Παράδειγμα: O ιδιοκτήτης επιτρέπει την ανάγνωση του αρχείου από τον Bob, και από μέλη της ομάδας Λογιστικής (Accounting)


Windows groups

Windows: Ενδιάμεσοι ΈλεγχοιΟμάδες (Groups)

  • ACL: Διαχείριση δικαιωμάτων ανά υποκείμενο: δύσκολη

  • Λύση: Ομάδες (Groups) – Απλοποιούν την εξουσιοδότηση

    • Χρήστες με «παρεμφερή» δικαιώματα πρόσβασης, θα καταχωρηθούν σε μια ομάδα

    • Στη συνέχεια, εφαρμόζεται η πολιτική εξουσιοδότησης στην ομάδα


Groups

Υποκείμενα

S1

S2

S3

S4

S5

Ομάδες

G1

G2

G3

Αντικείμενα

O1

O2

O3

O4

O5

O6

Ομάδες χρηστών (Groups)


Windows privileges

Windows: Ενδιάμεσοι ΈλεγχοιΠρονόμια (Privileges)

  • Μια πολιτική ελέγχου πρόσβασης μπορεί να αναφέρεται στις λειτουργίες (operations)που μπορεί να αποτελέσει ένας χρήστης

    • π.χ. Backup, shutdown,change time..

  • Ta προνόμια μπορούν να θεωρηθούν ως ενδιάμεσο στρώμα (layer) μεταξύ υποκειμένων & λειτουργιών


Negative permissions deny

Ομάδες και Άρνηση Δικαιώματος(Negative permissions - Deny)

(Gollmann, 2010)

  • Άρνηση πρόσβασης στο χρήστη s1για το αντικείμενο ο1 παρότι η πρόσβαση επιτρέπεται στην ομάδα g1.

    • Policy conflict


Negative permissions deny1

Άρνηση Δικαιώματος (Negative permissions-Deny)

http://securitytf.cs.kuleuven.ac.be/teaching/ClassicAccessControlTechniques.ppt


20 12 201 3

Εξουσιοδότηση DACΣυμπεράσματα

  • Πλεονεκτήματα

    • Ευέλικτο μοντέλο

    • Εύκολο στην υλοποίηση

  • Μειονεκτήματα

    • Οι χρήστες είναι υπεύθυνοι για την επιβολή της πολιτικής ασφαλείας

    • Δύσκολη διαχείριση


Dac trojan horse attack

(Sandhu, 1993)

Εξουσιοδότηση DAC - Μελέτη ΠερίπτωσηςΕπίθεση Δούρειου Ίππου (Trojan horse attack)

Robert: read, write

Classified

Robert

Ivan: read, write

Non Classified

REJECTED!

Black is not allowed

To access Classified

Read Classified

Ivan

http://my.fit.edu/~tgillett/swe5900/week1/Access%20Control%20Concepts.ppt


Dac trojan horse attack1

Εξουσιοδότηση DAC - Μελέτη ΠερίπτωσηςΕπίθεση Δούρειου Ίππου (Trojan horseattack)

Robert: read, write

TH

Reads

Classified

Address Book Manager

Robert’s Classified

Robert

Uses shared program

Ivan, Robert: read, write

TH

Copies

Classified

To Ivan’s

Directory

Robert’s Classified

Inserts Trojan Horse

Into shared program

Ivan

http://my.fit.edu/~tgillett/swe5900/week1/Access%20Control%20Concepts.ppt


Information flow control

Έλεγχός ροής

Αντιστοίχιση σε υποκείμενα & αντικείμενα, ετικετών ασφάλειας (Security Labels)

Κανόνες στη ροή πληροφορίας μεταξύ οντοτήτων με διαφορετικές ετικέτες

Ροή πληροφορίας σε ένα σύστημα:Yποκείμενα απoκτούν πρόσβαση σε αντικείμενα, π.χ. :

Διεργασίες  αρχεία/κατάλογοι

Διεργασίες  Διεργασίες

Διεργασίες  Εγγραφές ΒΔ

read

Object

Higher level

Bad

subject

write

read

Object

Lower level

Other

subject

Έλεγχος Ροής ΠληροφορίαςInformation Flow Control

(Sandhu, 1993)


Information flow policies

Information Flow Policies

(Sandhu, 1993)

  • Ιnformation flow policy

    • Α triple<SC, →, ⊕> where

    • SC is a set of security classes

    • →⊆ SC x SC is a binary can-flow relation on SC, and

    • ⊕ : SC x SC →SC is a binary join operator

  • Examples

    • A → B (info can flow from A to B)

    • A ↛ B (info cannot flow from A to B)

    • A⊕B = C (label objects that contain info from A and B, with sec. label C)

(Denning, 1976)


Information flow policies1

Information Flow Policies

(Sandhu, 1993)


Information flow policies2

Information Flow Policies

(Sandhu, 1993)

  • : An information flow policy forms a finite lattice

(Denning, 1976)

(Figure 1 (b))


Orders and lattice

Orders and lattice

  • partial order of a set: binary relation that is

    • transitive: a ≥ b and b ≥ c then a ≥ c

    • reflexive: a ≥ a

    • anti-symmetric/acyclic: a ≥ b and b ≥ a then a = b

  • total order: like a chain (either a ≥ b or b ≥ a)

  • lattice: every pair of elements have a least upper bound, and a greatest lower bound

  • Hasse diagrams depict a partial order

(Sandhu, 1993)

(DTM course - Daniel Trivellato, 2008)


Information flow policies3

Information Flow Policies

(Sandhu, 1993)

  • A totally ordered lattice

    • TS ≥ S ≥ C ≥ U

    • There are no incomparable classes

    • A ⊕ B = max(A,B)


Information flow policies4

Information Flow Policies

(Sandhu, 1993)

The two lattices (the totally ordered and the subset lattice) are often combined (military and government)


The product lattice

(DTM course - Daniel Trivellato, 2008)

TS, {Nuclear, Chemical}

TS, {Nuclear}

TS, {Chemical}

S, {Nuclear, Chemical}

TS, {}

S, {Nuclear}

S, {Chemical}

S, {}

The Product Lattice

  • Levels: TS, S and TS > S

  • Compartments: Nuclear, Chemical

  • the partial order dominates:(L1,C1) ≥ (L2,C2) iff L1 ≥ L2 and C2C C1

  • lub((TS, {Nuclear}), (S, {Nuclear, Chemical})) =

  • glb((TS, {Nuclear}), (S, {Nuclear, Chemical})) =

(TS, {Nuclear, Chemical})

(S, {Nuclear})


Mandatory access control mac

Εξουσιοδότηση «Κατ’ Απαίτηση» Mandatory Access Control (MAC)

(Sandhu, 1993)

  • Eυθύνη πολιτικής εξουσιοδότησης:Aπό το χρήστη στο σύστημα

  • Η πρόσβαση καθορίζεται, ελέγχοντας ετικέτες ασφάλειας (security labels)

    • Ετικέτες αποδίδονται σε υποκείμενα (security classifications),

    • Και σε αντικείμενα (security clearance)

  • Έμφαση:

    • Eμπιστευτικότητα (Bell-Lapadula)

    • Ακεραιοτητα (Biba)


Mac bell lapadula

Εξουσιοδότηση MACΤο Μοντέλο Bell-LaPadula


Mandatory access control mac1

Εξουσιοδότηση «Κατ’ Απαίτηση» Mandatory Access Control (MAC)

(Sandhu, 1993)

  • Το μοντέλο Bell-LaPadula

    • Έμφαση στην εμπιστευτικότητα(confidentiality)

    • No read up:Κανένα υποκείμενο δε μπορεί να διαβάσει δεδομένα ενός υψηλότερου επιπέδου (simple security property)

    • No write down:Κανένα υποκείμενο δε μπορεί να γράψει δεδομένα σε ένα χαμηλότερο επίπεδο (*-property)

(Bell and LaPadula, 1973)

A flow from object to subject

A flow from subject to object


20 12 201 3

http://isis.poly.edu/courses/cs996-management/Lectures/CS%20995%20ISM%20EVAL-2.ppt


Mac biba

Εξουσιοδότηση MACΤο Μοντέλο Biba

Στόχος: Προστασία «καθαρών» υποκειμένων/αντικειμένων από «βρώμικη» πληροφορία


Mandatory access control mac2

Εξουσιοδότηση «Κατ’ Απαίτηση» Mandatory Access Control (MAC)

(Sandhu, 1993)

  • Το μοντέλο Biba

    • Έμφαση στην ακεραιότητα (integrity)

    • No read-down:Κανένα υποκείμενο δε μπορεί να διαβάσει δεδομένα από ένα χαμηλότερο επίπεδο (Single Integrity property)

    • No write-up:Κανένα υποκείμενο δε μπορεί να γράψει δεδομένα σε ένα υψηλότερο επίπεδο (Integrity *-property)

(Biba, 1977)

Σημείωση: Ένα μοντέλο MAC μπορεί να συμπληρώνει και όχι απαραίτητα να αντικαθιστά ένα μοντέλο DAC (π.χ., O έλεγχος πρόσβασης MAC εκτελείται μετά από τον έλεγχο πρόσβασης DAC)


20 12 201 3

Biba

Cannot “write up”

Cannot “read down”


Ac bell lapadula

Μοντέλα ΜACΣενάριο Εφαρμογής (Bell-LaPadula)

  • O George μπορεί να διαβάσει όλα τα αρχεία/έγγραφα

  • Η Joan δεν μπορεί να διαβάσει τα αρχεία προσωπικού

  • O Henry μπορεί να διαβάσει μόνον τα logs & manuals

  • O Henry δεν μπορεί να γράψει στα manuals


Mandatory access control mac3

Εξουσιοδότηση «Κατ’ Απαίτηση» Mandatory Access Control (MAC)

(Sandhu, 1993)


20 12 201 3

Αρχή “Lowwatermark”

Περίπτωση: LOMAC, 2000

Το σύστημα υποστηρίζει δύο επίπεδα ασφάλειας

High Integrity(π.χ. System files)

Low Integrity (π.χ. Network)

Όταν μια διεργασία High δέχεται input από το δίκτυο, υποβιβάζεται στο επίπεδο Low

Μοντέλο Biba - ΕπεκτάσειςΔυναμικές Πολιτικές

  • http://www.gurulabs.com


Windows vista mandatory integrity control mic

Windows Vista Mandatory Integrity Control (MIC)


Mac compartmented security mode

Μια ετικέτα ασφάλειας (secu-rity label) μπορεί να περιέχει

Επίπεδα Ασφάλειας (Classifications, Clearances)

Κατηγορίες (Categories)

Compartment: Σύνολο από κατηγορίες

Επεκτάσεις MACCompartmented security mode

*

Least privilege: Οι κατηγορίες στις ετικέτες ασφάλειας, υπηρετούν την Αρχή της Αναγκαίας Γνώσης (Need to know)


164 287 292 ac

Έλεγχος Πρόσβασης(164,287,292) Μοντέλα ΜAC

*

(Anderson, 2008)


20 12 201 3

*

(Gollmann, 2010)


Mandatory access control mac4

Εξουσιοδότηση «Κατ’ Απαίτηση» Mandatory Access Control (MAC)

  • Πλεονεκτήματα

    • Το σύστημα ελέγχει την επιβολή της πολιτικής εξουσιοδότησης και όχι οι χρήστες

    • Καλύτερος έλεγχος στη ροή της πληροφορίας από ασφαλή προς μη ασφαλή επίπεδα και αντίστροφα

    • Αντιμετωπίζει με επιτυχία προβλήματα τύπου “επίθεση trojanhorse”

  • Μειονεκτήματα

    • Έλλειψη ευελιξίας (στατικές πολιτικές)


Protection rings

Protection Rings

3

2

1

0

Protection rings are mainly used for integrity protection.


Multilevel multirateral security

Έλεγχος ΠρόσβασηςMultilevel & Multirateral Security

  • Μοντέλα: Chinese Wall, BMA,…

Συχνά, ο σκοπός δεν είναι να προστατέψουμε τη ροή της πληροφορίας «καθέτως» (δηλαδή, εντός ενός συστήματος), αλλά «οριζοντίως» (π.χ. μεταξύ διαφορετικών συστημάτων ή τμημάτων του ίδιου συστήματος


Multilateral security

Ο John συμβουλεύει την Bank A για επενδυτικά προγράμματα. H Bank B συμβουλεύει τον John για επενδυτικά προγράμματα: Σύγκρουση συμφερόντων (COI-Conflict Of Interest)

Multilateral Security

  • Μοντέλο Σινικού Τείχους (Chinese Wall)


Ac to clark wilson 1987

Το μοντέλο Clark-Wilson επίσης κατηγοριοποιεί τα δεδομένα σε:

Χαμηλής διαβάθμισης – UDI (Unconstrained DataItems)

Υψηλής διαβάθμισης– CDI (Constrained Data Ιtem)

Δίνει έμφαση στην ακεραιότητα

Οι ταυτοποιημένοι χρήστες (Users) επιτρέπεται να τροποποιούν τα UDI

Μια οντότητα (TP) τροποποιεί τα CDI εκ μέρους των χρηστών

(TP–Transformation Procedures)

Έλεγχος ΠρόσβασηςΜοντέλα ΜAC – To μοντέλο Clark-Wilson (1987)

Περίπτωση: ένα Σύστημα e-banking

To profile της Kathy

Οι πληροφορίες λογαριασμού της Kathy

Η Kathy ενημερώνει το profile της

Η TP ενημερώνει το λογαριασμό (Α) της Alice, ως συνέπειατης μεταφοράς 50$ από το λογαριασμό (Β) που η Alice διατηρεί στην τράπεζα


Ac to clark wilson

Έλεγχος ΠρόσβασηςΜοντέλα ΜAC – To μοντέλο Clark-Wilson


To clark wilson

Η οντότητα IVPεπαληθεύει

την ορθότητα της συναλλαγής(well-formed transactions)

τη συνέπεια των καταστάσεων(consistent states)

H επαλήθευση γίνεται:

Εσωτερικά

Η νέα τιμή των CDI είναι ορθή

Εξωτερικά

Η αλλαγή στην κατάσταση του συστήματος έγινε ορθώς

To μοντέλο Clark-Wilson

Η Kathy είχε 2000$ & κατέθεσε 50$, επομένως το νέο υπόλοιπο πρέπει να είναι 2050$

Η πίστωση του λογαριασμού Α της Alice με 50$, αντιστοιχεί στη χρέωση του λογαριασμού Β με 50$


To clark wilson1

Το μοντέλο επίσης υποστηρίζει:

Καταγραφή συμβάντων (auditing)

Διάκριση Καθηκόντων (Separation of duties)

To μοντέλο Clark-Wilson

  • Όλες οι Συναλλαγές καταγράφονται

π.χ. Αν ένας πελάτης μεταφέρει άνω των 10000$, το σύστημα απαιτεί την έγκριση από δύο οντότητες


Towards a new access model

Towards a new access model…


To rbac role based access control

To Μοντέλο RBACRole-Based Access Control

*

  • Motivation

    • DAC is too flexible (allows wrong behaviour)

      • Users do not “own” info for which they have access

      • Need for centrally controlling and maintaining access rights

    • MAC is too rigid (extremely high security)

      • Gives emphasis on sensitivity labels of subjects & objects

  • Solution: RBAC

    • Access is through roles

    • Cases: Hospital, Bank,…

  • Advantages

    • Extends old access model (= users related to permissions)

    • Roles are relatively stable, while users come and go

    • Data abstraction: Emphasis to functions & information

    • Reduce complexity, cost, error in assigning user permissions

(Ferraiolo and Kuhn, 1992)

(NIST Standard, 2001)

*

*,

*,

Concern: Who owns which info

*

Concern: Who reads/writes which info


Role based access control rbac

Role-based Access Control (RBAC)

(Rajput &Cherukuri, 1996)

Athos

Aramis

palace

uniform

DAC

D'Artagnan

Porthos

weapons

Athos

palace

Porthos

RBAC

Musketeer

Aramis

uniform

D'Artagnan

weapons

http://my.fit.edu/~tgillett/swe5900/week1/Access%20Control%20Concepts.ppt


To rbac role based access control1

What is a Role?

A job function or job title, with associated semantics

Stable: activities or functions change less frequently

Motivations for building a role

Competency for specific tasks

Physician, Pharmacist

Authority and responsibility

Project supervisor

Duty assignments rotated through multiple users

Duty physician, shift manager

Roles vs Groups

Groups: Collection of users

Role: Collection of users (one side) and of permissions (other)

Groups: Easier to see group members than group permissions

UNIX: Traversal of filesystem tree to see Group permissions

Groups: decentralized assignment of permissions

To Μοντέλο RBACRole-Based Access Control

(Sandhu, 1997)


The rbac model

The RBAC Model

(Ferraiolo and Kuhn, 2009,

Li et al, 2007)


20 12 201 3

  • Role: Doctor

    • Functions

      • Enter a diagnosis

      • Prescribe medication (=read/write access to prescription files)

      • Add an entry to a record of treatments performed on a patient

      • ..

    • Members: Dr. A. V. Smith, Dr. M. Kein,…

  • Role: Nurse

    • Functions

      • Read treatments performed on a patient

    • Members: Ms. D. J. Hail, Mr. A. Robins,…

  • Role: Pharmacist

    • Functions

      • Dispense (not prescribe) drugs (= read access to prescription files)

    • Members: Ms. D. V. Mapel, Mr. A. F. Johnson,…


Nist rbac model

NIST RBAC Model

(NIST Standard, 2001)


Nist rbac model 1 flat rbac also referred to as rbac 0

User: Human Being .Typically, he/she may cor-respond to one or more subjects (active user processes)

Role: Job function or job title

Permission: High-level privilege; always positive. Typically, translated to an operation to one or more system objects.

NIST RBAC Model1. Flat RBAC (also referred to as RBAC0)

(NIST Standard, 2001)

(Sandhu, 1997)

(Sandhu, 1997)

(Ferraiolo et al, 1995)

*


Operations and objects

Operations and Objects

(Ferraiolo et al, 1995)

(Rajput &Cherukuri, 1996)

  • Operation. An execution of an a program specific function that’s invocated by a user.

  • Object. An entity that contains or receives information, or has exhaustible system resources.

  • OS Files or Directories

  • DB Columns, Rows, Tables, Views

  • Printer

  • Disk Space

  • Lock Mechanisms

  • Database – Update Insert Append

  • Delete Locks – Open Close

  • Reports – Create View Print

  • Applications – Read Write Execute

SQL


User assignment

User Assignment

(Ferraiolo and Kuhn, 2009)

(Rajput &Cherukuri, 1996)

Ένας χρήστης μπορεί να

Υποδύεται έναν ή

Περισσότερους ρόλους

  • When a new person enters the organization, admin grants him/her membership to an existent role

  • When a person’s function changes, the user membership to roles can be updated

  • When a person leaves the organization, all memberships to all roles are deleted

Χρήστες

Ρόλοι

Ανάπτυξη

Ένας ρόλος μπορεί να

Αντιστοιχεί σε έναν ή

Περισσότερους χρήστες

Τεχνική Υποστήριξη


User assignment1

User Assignment

(Rajput &Cherukuri, 1996)

Roles set

Users set

Permissions

User.DB1

View

Update

Append

User.F1

User.F2

User.F3

User.DB1

Admin.DB1

object

User.F1

permissions

User.F1

Read

Write

Execute

User.DB1

object

permissions


User assignment aka role authorization

User Assignment aka: Role authorization

(Ferraiolo et al, 1995)

  • Association of a user to a role can be subject to the following

    • Give user no more privilege than necessary to his/her job

      • Least Privilege Principle

    • Role is not mutually exclusive with another role he/she is member of

    • Not exceed numerical constraints that exist for role membership

*


Permission assignment

Permission Assignment

ROLES set

A prms can be assigned to one or more roles

PRMS set

Create

Delete

Drop

Admin.DB1

View

Update

Append

A role can be assigned

to one or more prms

User.DB1


Nist rbac model 1 flat rbac user sessions

Session

Permissions available: union of permissions from activated roles

A user should be allowed to login to a system with necessary roles

Least Privilege principle

NIST RBAC Model1. Flat RBAC– User Sessions

(NIST Standard, 2001)

(Sandhu, 1997)

Session

  • A mapping of one user to many roles

  • In a session, a user may choose to (simultaneously) activate subset of roles he/she is member of

(Sandhu, 1997)


Sessions

guest

admin

invokes

user

Sessions

(Rajput &Cherukuri, 1996)

The set of sessions that each user invokes.

USER

SESSION

FIN1.report1

SQL

DB1.table1

APP1.desktop


Role activation

Role Activation

(Ferraiolo et al, 1995)

  • A role can be activated if:

    • User U authorized for the role being proposed for activation

    • Activation not mutually exclusive with any other active role(s) of U

    • Proposed op authorized for role that is proposed for activation

    • Proposed operation is consistent with constraints


Ansi rbac standard 1 flat rbac getting formal

ANSI RBAC Standard1. Flat RBAC- Getting Formal..

(ANSI INCITS 359-2004)


20 12 201 3

Manager

Administrator

Clerk

NIST RBAC Model2. Hierarchical RBAC (also referred to as RBAC1)

(NIST Standard, 2001)

(Sandhu, 1997)

  • Motivation

    • When operations overlap, hierarchies of roles can be established

  • Hierarchy

    • Role-role relationship

    • Models structure of enterprise

    • Simplifies administration

    • Manager role inherits permissions of Clerk role

    • A user assigned to Manager role can activate the clerk role

(Ferraiolo et al, 1995)

(Rajput &Cherukuri, 1996)


Roles hierarchy example

Membership to Doctor, implies access to transactions defined by:

Intern, Healer, Doctor

Membership to Healer: access only to resources allowed under Healer

Roles Hierarchy: Example

(Ferraiolo and Kuhn, 2009)


20 12 201 3

NIST RBAC Model2. Hierarchical RBAC (also referred to as RBAC1)

(NIST Standard, 2001)

(Sandhu, 1997)

Dermatologist

Cardiologist

Jill

m

e

m

b

e

r

s

h

i

p

“contains”

“contains”

p

r

i

v

i

l

e

g

e

CSD Secretary

Specialist

Comp Security Division

“contains”

MEL Secretary

ITL Secretary

Doctor

“contains”

NIST Secretary

Employee

b-General Hierarchies

a-Limited Hierarchies

(Rajput &Cherukuri, 1996)

(Rajput &Cherukuri, 1996)


20 12 201 3

Inverted trees do not allow aggregation of resources from more than one role

Issue: there can be no sharing of resources between project 1 and project 2 roles

Senior roles (3a, 3b) aggregate too much power (what about: fraud, mistakes?)


Hierarchical rbac limited inheritance

Hierarchical RBACLimited Inheritance

Private Role (Sandhu et al, 1996)

*


Hierarchical rbac limited inheritance1

Hierarchical RBACLimited Inheritance

(Sandhu, 1997)


Ansi rbac standard 2 hierarchical rbac getting formal

ANSI RBAC Standard2. Hierarchical RBAC-Getting Formal..

Li et al, 2007)

(ANSI INCITS 359-2004,

(Li et al, 2007)

Correct: r ≥ r’

Correct: condition:


20 12 201 3

User assignment constraints

Static SOD,

max number of users/role,

prerequisite roles,…

Permission assignment constraints

max number of roles/permission

Permission p is assigned to r only if r possesses q

ABAC (role-centric)

Session constraints

Dynamic SOD, max no of activated roles

Terminate session if inactive too long,…

Role hierarchy constraints

Max number of senior roles /role

NIST RBAC Model3. Constrained RBAC (also referred to as RBAC2)

(NIST Standard, 2001)

(Sandhu, 1997)

(Sandhu et al, 1996)

*


Constrained rbac separation of duties sod

Constrained RBACSeparation of Duties (SOD)

(Sandhu, 1997,

Ferraiolo & Kuhn, 2009,

NIST Standard, 2001)

No one who performs the initiator role could also perform the authorizer role

One can take both roles but not for a payment that he/she initiated !

Two flavours:

Static SOD (mutually exclusive roles)

  • Compliance determined during user-role assignment

    Dynamic SOD

  • Compliance determined during roles activation in user sessions

  • System checks role AND user ID for checking access

Problem:

Fraud & errors from collaboration between job related capabilities

  • Conflict of Interest (COI)

  • e.g., Initiate & authorize payment, programmer and program tester,…

    Solution:

    Separation Of Duty (SOD)

  • Tasks partitioning among roles to prevent gathering much authority

    Supports least privilege principle


Constrained rbac separation of duties sod1

(NIST Standard, 2001)

Constrained RBACSeparation of Duties (SOD)

Constraints are inherited within a role hierarchy


Constrained rbac dynamic sod

User authorized as member of a set of roles, which:

don’t constitute COI when acted in independently,

.. do constitute COI when acted in simultaneously !

Dynamic SOD provides greater flexibility

Constrained RBAC Dynamic SOD

(NIST Standard, 2001)

  • User can be member of 2 roles, but cannot be active to both at the same time!


Ansi rbac standard 3 constrained rbac getting formal 1 2

ANSI RBAC Standard3. Constrained RBAC - Getting Formal.. (1/2)

Li et al, 2007)

(ANSI INCITS 359-2004,


Ansi rbac standard 3 constrained rbac getting formal 2 2

ANSI RBAC Standard3. Constrained RBAC - Getting Formal.. (2/2)

Li et al, 2007)

(ANSI INCITS 359-2004,


Nist rbac model 4 symmetric rbac

Level 1

Interface for the review of user-role assignment

Level 2

Interface for review of roles inherited by the assigned roles

Level 4

Interface for permission-role review for a user or role

Complete set of objects associated with permissions

Motivation:

Review permissions within the enterprise. Scenarios:

A user departs

Revoke permissions

A user changes jobs or responsibilities in enterprise

Revoke and/or give new

Existing permissions obsolete

NIST RBAC Model4. Symmetric RBAC

(NIST Standard, 2001)


Role engineering and management

Role Engineering and Management

(Sandhu, 1997,

Coyne et al, 2011)

  • Role Engineering

    • Develop an RBAC structure for an organization

  • Tasks:

    • Design roles in large systems

      • What the users’ jobs are?

      • Define minimum privileges

    • Assign Permissions to Roles

    • Assign Users to Roles

    • Assign roles to roles (= define Hierarchies)

    • Define & enforce Constraints

    • Define policies for revoking memberships, permissions

  • Challenges

    • Who does it?

    • Design roles in large systems,…

  • Future: Waiting for ISO standard

*

(Dridi et al, 2004)


Role engineering and management1

Role Engineering and Management

(Dridi et al, 2004)


Role engineering and administration

Role Engineering and Administration

(Sandhu, 1997)


The arbac97 model for rbac administration

The ARBAC97 model for RBAC administration

(Sandhu, 1997)

User-Role Assignment

Permission-Role Assignment


The arbac97 model for rbac administration1

The ARBAC97 model for RBAC administration

(Sandhu, 1997)

Role-Role Assignment


Future adding attributes to rbac

Future: Adding Attributes to RBAC

(Kuhn et al, 2010)

  • Motivation

    • Support of dynamic attributes (e.g. time of day, network address,…)

  • ABAC (attribute-based AC)

    • Goal: Add attributes & rules to make RBAC simpler and flexible

  • Option 7 (Dynamic Roles)

    • Attributes used to determine the subject’s role

*

Rule: Allow access if subject is teller working from 7.30 am to 5.00 pm

  • Option 8 (Attribute-centric)

    • A role is just one of many attributes

  • Option 9 (Role-centric)

    • Attributes are added to constrain RBAC


Some of the vendors offering rbac products

Some of the Vendors Offering RBAC Products

*,

(Rajput &Cherukuri, 1996)


20 12 201 3

2. Άλλα Θέματα στον Έλεγχο Πρόσβασης


Access control layers

Έλεγχος Πρόσβασης –Στρώματα ΠροστασίαςAccess Control Layers

Φυσικοί Έλεγχοι

  • Ασφάλεια περιμέτρου

  • (Φυσική) Κατάτμηση δικτύου

  • Ασφάλεια συσκευών

  • Διαχωρισμός περιοχών εργασίας

  • Αντίγραφα δεδομένων

  • Καλωδίωση

Λογικοί Έλεγχοι

  • Πρόσβαση στο σύστημα

  • (Λογική) Κατάτμηση δικτύου

  • Πρόσβαση στο δίκτυο

  • Πρωτόκολλα ασφάλειας

  • Δοκιμές διείσδυσης

  • Καταγραφή και παρακολούθηση

Διαχειριστικοί Έλεγχοι

  • Πολιτικές

  • Διαδικασίες

  • Διαχείριση προσωπικού

  • Εκπαίδευση & επιμόρφωση

  • Έλεγχος (Audit)

  • Δοκιμές

  • http://www.hyperlearn.com


Access control layers1

Έλεγχος Πρόσβασης –Στρώματα ΠροστασίαςAccess Control Layers

Άθρωποι: ο πλέον αδύναμος κρίκος στο πρόγραμμα ασφάλειας. Η σωστή και συνεχής εκπαίδευση μπορεί να μειώσει πολλούς κινδύνους

Πολιτικές: η θεώρηση της ασφάλειας από τη σκοπιά τη Διοίκησης. Διαδικασίες, Πρότυπα & Οδηγίες: Υποστηρίζουν την πολιτική ασφάλειας

Α. Διαχειριστικοί Έλεγχοι

  • Πολιτικές & Διαδικασίες

  • Διαχείριση προσωπικού

  • Εκπαίδευση & επιμόρφωση

  • Έλεγχος

Συνεχείς δοκιμές και έλεγχος των μηχανισμών & διαδικασιών ασφάλειας (π.χ. ασκήσεις ετοιμότητας για φυσικές καταστροφές, συνεντεύξεις με υπαλλήλους,…

Ενέργειες (ως προς την ασφάλεια) κατά την πρόσληψη, απόλυση, μετάθεση, προαγωγή κλπ. Επίσης, διάκριση καθηκόντων, εναλλαγή θέσεων εργασίας κλπ

  • http://www.hyperlearn.com


Access control layers2

Έλεγχος Πρόσβασης –Στρώματα ΠροστασίαςAccess Control Layers

Π.χ. Κλειδαριές στο κάλυμμα του Η/Υ, αφαίρεση οδηγών floppy & CD/DVD, ασφάλεια εκπομπών (emanation security),…

Φρουροί ασφάλειας, κλειστό κύκλωμα TV, φράχτες, ανιχνευτές κίνησης κλπ

Β. Φυσικοί Έλεγχοι

  • Ασφάλεια περιμέτρου

  • (Φυσική) Κατάτμηση δικτύου

  • Ασφάλεια συσκευών

  • Διαχωρισμός περιοχών εργασίας

  • Αντίγραφα δεδομένων

  • Καλωδίωση

Π.χ. οι Η/Υ με τις ΒΔ των πελατών τοποθετούνται σε συγκεκριμένη αίθουσα, με φυσική προστασία (π.χ. τοίχος, πόρτες, κλειδαριά). Οι κόμβοι, patch panels, δρομολογητές & δικτυακές συσκευές ομοίως.

Ομάδες υπαλλήλων με συναφείς αρμοδιότητες, έχουν διακριτούς χώρους εργασίας. Η πρόσβαση σε κάθε χώρο προστατεύεται με μέτρα φυσικής ασφάλειας

Διαδικασίες για τη λήψη, φύλαξη αντιγράφων, & ανάκτηση κρίσιμων δεδομένων μετά από ένα σφάλμα, επείγον περιστατικό, καταστροφή κλπ

Είδος καλωδίων που θα επιλεγεί (π.χ. αντοχές κάθε τύπου σε παρεμβολές, θόρυβο & υποκλοπές), διαδικασίες καλωδίωσης κλπ

  • http://www.hyperlearn.com


Access control layers3

Τεχνικές Ταυτοποίησης (PKI, passwords, smartcards. Kerberos, Radius), & Εξουσιοδό-τησης υποκειμένου (π.χ. έλεγχος ετικέτας ασφάλειας σε MAC)

Έλεγχος Πρόσβασης –Στρώματα ΠροστασίαςAccess Control Layers

(Κυρίως) κρυπτογραφικά πρωτόκολλα για την προστασία της μυστικότητας, ακεραιότητας & αυθεντικότητας των επικοινωνιών & των δεδομένων

Γ. Λογικοί Έλεγχοι

  • Πρόσβαση στο σύστημα

  • (Λογική) Κατάτμηση δικτύου

  • Πρόσβαση στο δίκτυο

  • Πρωτόκολλα ασφάλειας

  • Δοκιμές διείσδυσης

  • Καταγραφή και παρακολούθηση

Λογικός διαχωρισμός (π.χ. IP networks, subnet masks, VLANs)

Penetration testing: Διενέργεια επιθέσεων (white hat) με σκοπό την διαπίστωση των ευπαθειών του προγράμματος ασφάλειας

Routers, firewalls, switches, bridges,…

Παρακολούθηση (π.χ. συστήματα IDS), & καταγραφή (logging) των δραστηριοτήτων και των ενεργειών στο δίκτυο και στα συστήματα

  • http://www.hyperlearn.com


Access control layers4

Έλεγχος Πρόσβασης –Στρώματα ΠροστασίαςAccess Control Layers


20 12 201 3

Ασφάλεια – Στρώματα ΠροστασίαςΠρόληψη – Ανίχνευση & Αντιμετώπιση (1)


20 12 201 3

Ασφάλεια – Στρώματα ΠροστασίαςΠρόληψη – Ανίχνευση & Αντιμετώπιση (2)


Authorization access criteria

Σε ποια ομάδα (group) ανήκει το υποκείμενο;

Ομάδα: λίστα υποκειμένων με παρόμοιες αρμοδιότητες

Ποια η ετικέτα ασφάλειας του υποκειμένου;

Ποιος ρόλος ζητεί πρόσβαση;

Ρόλος: αρμοδιότητα, ή λίστα αρμοδιοτήτων στην επιχείρηση

Ποια είναι η τοποθεσία (φυσική ή λογική) από όπου προέρχεται η αίτηση πρόσβασης;

Ποιος είναι ο χρόνος κατά τον οποίο γίνεται η αίτηση;

Εξουσιοδότηση (Authorization)Άλλα Κριτήρια για την Πρόσβαση (Access Criteria)

  • http://ez.no/


Authorization access criteria1

Σε ποια ομάδα (group) ανήκει το υποκείμενο;

Ομάδα: λίστα υποκειμένων με παρόμοιες αρμοδιότητες

Ποια η ετικέτα ασφάλειας του υποκειμένου;

Ποιος ρόλος ζητεί πρόσβαση;

Ρόλος: αρμοδιότητα, ή λίστα αρμοδιοτήτων στην επιχείρηση

Ποια είναι η τοποθεσία (φυσική ή λογική) από όπου προέρχεται η αίτηση πρόσβασης;

Ποιος είναι ο χρόνος κατά τον οποίο γίνεται η αίτηση;

Εξουσιοδότηση (Authorization)Άλλα Κριτήρια για την Πρόσβαση (Access Criteria)

Η πρόσβαση στα αρχεία μισθοδοσίας επιτρέπεται μόνον κατά τις ώρες 8.00-17.00

H εκτύπωση σε αυτόν τον εκτυπωτή επιτρέπεται μόνον στα μέλη της ομάδας «Τμήμα προμηθειών»

Ο ρόλος «Ελεγκτής αρχείων καταγραφής» έχει δικαιώματα ανάγνωσης (και μόνον) στα αρχεία καταγραφής

Η πρόσβαση σε αυτόν τον Η/Υ επιτρέπεται μόνον με την τυπική διαδικασία εισόδου (alt-ctrl-del) – interactive log on

Η πρόσβαση στη ΒΔ επιτρέπεται μόνον από διευθύνσεις της μορφής: 195.130.X.X

http://ez.no/


Rule based access control

Ένα σύνολο κανόνων καθορίζει τη σχέση υποκειμένων & αντικειμένων

Οι κανόνες δεν είναι πάντα προσανατολισμένοι στην ταυτότητα του υποκείμενου

π.χ. επηρεάζουν όλους τους χρήστες

Ευρέως χρησιμοποιούμενοι σε routers, firewalls, proxies,…

Πολιτικές ΕξουσιοδότησηςRule-Based Access Control

AN ο χρήστης συνδέεται μεταξύ Δευτέρας & Παρασκευής, KAI

μεταξύ 8 Α.Μ. και 5 P.Μ, KAI

το επίπεδο ασφάλειας του χρήστη είναι μεγαλύτερο ή ίσο του αντικειμένου, ΚΑΙ

η κατηγορία του είναι ίδια με την κατηγορία του αντικειμένου ( “need to know”), ΤΟΤΕ

H πρόσβασηεπιτρέπεται

IF X AND/OR Z THEN Y

π.χ: Μια πολιτική της επιχείρησης καθορίζει:

τα συνημμένα αρχεία δεν μπορούν να έχουν μέγεθος πάνω από 5ΜΒ.

Ένας κανόνας στον mail server επιβάλλει την πολιτική σε όλους τους χρήστες


Constrained user interfaces 1 2

Η πολιτική επιβάλλεται με κατάλληλους περιορισμούς στο interface του χρήστη

Πολιτικές ΕξουσιοδότησηςConstrained User Interfaces (1/2)

Διαφορετικές όψεις του ίδιου πίνακα


Constrained user interfaces 2 2

Μενού Επιλογών (Menus)

Κέλυφος Λ.Σ. (Shells)

Όψεις ΒΔ (Database Views)

Φυσικοί περιορισμοί

Πολιτικές ΕξουσιοδότησηςConstrained User Interfaces (2/2)

Οι επιλογές των χρηστών περιορίζονται στις εντολές που μπορούν να εκτελέσουν

Το interface του χρήστη με το Λ.Σ. Ένα περιορισμένο κέλυφος (restricted shell) περιέχει μόνον τις εντολές που καθορίζει ο Διαχειριστής

π.χ. ορισμένα πεδία & εγγραφές της βάσης, δεν είναι ορατά σε συγκεκριμένους τύπους χρηστών

π.χ. Σε κάθε μηχάνημα ATM, η επικοινωνία με το Λ.Σ. περιορίζεται (με φυσικό τρόπο) στις επιλογές που προσφέρει το πληκτρολόγιο


Content context dependent ac

Εξουσιοδότηση με βάση το Περιεχόμενο (content)

H πρόσβαση καθορίζεται από το περιεχόμενου του αντικειμένου

Όψεις ΒΔ, φίλτρα spam, έλεγχος περιεχομένου Web,…

Έλεγχος Πρόσβασης με βάση το Πλαίσιο (context)

Η πρόσβαση καθορίζεται από πληροφορίες που σχετίζονται με την πρόσβαση

π.χ. Stateful firewalls,…

Πολιτικές Εξουσιοδότησης{Content, Context} -dependent AC

Η πολιτική καθορίζει:

Οι διευθυντές έχουν πρόσβαση στις εγγραφές της ΒΔ για τη μισθοδοσία των υπαλλήλων τους

Αν ο διευθυντής Α ζητήσει πρόσβαση στα δεδομένα του υπαλλήλου Χ, το σύστημα DBMS ελέγχει τα περιεχόμενα της εγγραφής για να διαπιστώσει αν ο Χ δουλεύει για τον Α


Access control administration

Δύο προσεγγίσεις

Συγκεντρωτικά συστήματα

Αποκεντρωμένα συστήματα

Διαχείριση Ελέγχου Πρόσβασης (Access Control Administration)

Πού λαμβάνονται οι αποφάσεις;

Όλες οι αιτήσεις πρόσβασης προωθούνται σε μια κεντρική οντότητα (π.χ. Kerberos)

(ή, Κεντρικής διαχείρισης)

Οι αποφάσειςγια την έγκριση ή την απόρριψη της αίτησης πρόσβασης λαμβάνονται σε σημεία που βρίσκονται “κοντά” ως προς τα αντικείμενα


Radius

Remote Authentication Dial- In User Service

RADIUS


Radius1

RADIUS

  • Βήμα 1: Ο χρήστης Χ και ο ASσυμφωνούν σε ένα πρωτόκολλο αυθεντικοποίησης (PAP, CHAP, EAP)

    • Πρωτόκολλα Challenge-Response

  • Βήμα 2: Ο χρήστης Χ υποβάλει το username & password στον AS

  • Βήμα 3: ο ASεπικοινωνεί με τον RS, με το πρωτόκολλο RADIUS

    • Ο ASστέλνει τα διαπιστευτήρια (credentials) του Χ στον RS

    • O RSκάνει δεκτή ή απορρίπτει την αίτηση πρόσβασης, & καθορίζει τα δικαιώματα πρόσβασης για τον Χ (εξουσιοδότηση)

  • Βήμα4: Αν η πρόσβαση γίνει δεκτή, τότε ο RSαποστέλλει στον Χ, μέσω του AS, μια διεύθυνση IP, καθώς & άλλες παραμέτρους για τη σύνδεση.


20 12 201 3

Αρχή «Least Privilege»

Οι εφαρμογές πρέπει να εκτελούνται με τα ελάχιστα δικαιώματα που απαιτούνται

Αρχή «Need to Know»

Ta υποκείμενα έχουν δικαίωμα πρόσβασης στην πληροφορία που είναι απολύτως απαραίτητη για τη διεκπεραίωση μιας εργασίας

Αρχή «Ελάχιστων Προνομίων» &Αρχή «Αναγκαίας Γνώσης»

Περίπτωση: Το πρόγραμμα system backupέχει δικαιώματα ανάγνωσης στα αρχεία συστήματος, αλλά δεν μπορεί να τα τροποποιήσει

Η Διοίκηση (ή οι Ιδιοκτήτες αγαθών) αποφασίζουν ποια είναι τα απολύτως αναγκαία δικαιώματα πρόσβασης για έναν χρήστη στα αγαθά

Περίπτωση: Το πρόγραμμα system restoreέχει δικαιώματα εγγραφής στα αρχεία συστήματος, αλλά δεν έχει δικαίωμα ανάγνωσης

Ο Διαχειριστής Ασφάλειας επιβάλλει τους περιορισμούς αυτούς κατά την κατάρτιση των δικαιωμάτων πρόσβασης


A fail secure pproach

Εξουσιοδότηση – A Fail-Secure Αpproach

Αν το σύστημα δεν μπορεί να αποφασίσει τι είδους πρόσβαση πρέπει να αποκτήσει ένα υποκείμενο, η προεπιλογή (default) πρέπει να είναι:

“Η Πρόσβαση Απαγορεύεται”


20 12 201 3

3. Καταγραφή,

Παρακολούθηση, Ανίχνευση

(Logging, Monitoring,

Intrusion Detection)


Accountability

Οι διαδικασίες παρακολούθησης (monitoring), καταγραφής (logging) & ελέγχου (audit)

Καθιστούν χρήστες υπεύθυνους για τις πράξεις τους

Επαληθεύουν εάν οι πολιτικές ασφάλειας εφαρμόζονται

Χρησιμεύουν ως εργαλεία έρευνας (investigationtools) κατόπιν ενός συμβάντος,…

Οι διαδικασίες αυτές αφορούν δραστηριότητες χρηστών, συστημάτων & εφαρμογών,..

Οι δυνατότητες μπορεί να είναι ενσωματωμένες σε Λ.Σ. ή/και σε ειδικές εφαρμογές

ΑσφάλειαΗ Έννοια της Υπευθυνότητας (Accountability)

  • cwwatch.files.wordpress.com


Accountability logging

Η Έννοια της Υπευθυνότητας (Accountability)Καταγραφή (Logging)

Γεγονότα (σε επίπεδο Συστήματος)

  • Απόδοση Συστήματος

  • Απόπειρες εισόδου (επιτυχείς & ανεπιτυχείς)

  • ID (username) επιτυχών συνδέσεων

  • Συσκευές που χρησιμοποιήθηκαν

  • Αλλαγή ρυθμίσεων συστήματος

  • http://bellsouthpwp.net


Accountability logging1

Η Έννοια της Υπευθυνότητας (Accountability)Καταγραφή (Logging)

Γεγονότα (σε επίπεδο Εφαρμογής)

  • Μηνύματα σφαλμάτων

  • Λίστα αρχείων (που ανοίχτηκαν ή έκλεισαν)

  • Τροποποίηση αρχείων

  • Παραβιάσεις στην ασφάλεια

  • http://www.eclipse.org


Accountability logging2

Η Έννοια της Υπευθυνότητας (Accountability)Καταγραφή (Logging)

Γεγονότα (σε επίπεδο Χρήστη)

  • Απόπειρες εισόδου

  • Λίστα αρχείων, υπηρεσιών & άλλων πόρων που αιτήθηκε

  • Παραβιάσεις στην ασφάλεια

  • http://www.eclipse.org


Logging ids 195

Καταγραφή (Logging) Χρήση συστημάτων IDS (195)

  • http://www.redhat.com/docs/manuals/enterprise/RHEL-4-Manual/selinux-guide/figs/rhl-common/tools-policy/seaudit-plain.png


Logging

Καταγραφή (Logging) Θέματα ασφάλειας

  • Τα αρχεία καταγραφής παρουσιάζουν ιδιαίτερο ενδιαφέρον από τη σκοπιά της ασφάλειας !!!

    • Φύλαξη & αποθήκευση τους

    • Μη εξουσιοδοτημένη πρόσβαση και τροποποίηση τους,…

  • http://www.exacttrend.com/wmslogstorage/screenshot.gif


20 12 201 3

(Bellare & Yee, 1997)

Ta log entries είναι της μορφής

Χρόνος: χωρίζεται σε περιόδους, & κάθε περίοδος (epoch)i έχει το δικό της κλειδίKiγια αυθεντικοποίηση των log entries της περιόδου

Στο τέλος της κάθε περιόδου

Κi = hash (Ki-1)

Διαγραφή του Ki

Οποιαδήποτε χρονική στιγμή,το K0 (base key) χρησιμοποιείται για την επαλήθευση των log entries

To K0φυλάσσεται αλλού !

Καταγραφή Θέματα ασφάλειας

  • http://www.exacttrend.com/wmslogstorage/screenshot.gif

Χρήση κρυπτογραφικού MAC (Message Authentication Code) για την αυθεντικοποίηση των εγγραφών στο αρχείο καταγραφήςμε πρόσθια ακεραιότητα (Forward Integrity)


20 12 201 3

(Bellare & Yee, 1997)

Καταγραφή Θέματα ασφάλειας

  • http://www.exacttrend.com/wmslogstorage/screenshot.gif

Aν ο εχθρός αποκτήσει πλήρη πρόσβαση στο σύστημα, με δικαιώματα administrator, δεν θα μπορεί να «πάει πίσω» στο χρόνο και να αλλάξει τα log entries (Forward Integrity) !


Audit ids 195

Τa αρχεία καταγραφής μπορούν να ελεγχθούν χειρονακτικά ή με αυτόματο τρόπο

π.χ. κατόπιν μιας επιτυχούς παραβίασης στην ασφάλεια

Ειδικά εργαλεία, αναλαμβάνουν την επεξεργασία των αρχείων με σκοπό την εξαγωγή γνώσης

Audit trail analysis

Εναλλακτικά, ένα σύστημα IDSελέγχει σε πραγματικό χρόνο για «ύποπτη» δραστηριότητα

Ρύθμιση κατωφλίου ασφάλειας (threshold) για μείωση ψευδών αναφορών (FAR, FRR)

Δυνατότητα ειδοποίησης (alarm) σε πραγματικό χρόνο

Έλεγχος (Audit)Χρήση συστημάτων IDS (195)


Audit trail analysis tools audit reduction

Audit Trail Analysis ToolsAudit Reduction

  • http://manageengine.adventnet.com/products/eventlog/images/PCI.jpg


Audit trail analysis

Τρεις κατηγορίες

Auditreduction

Φιλτράρουν τα αρχεία καταγραφής με σκοπό την ανάδειξη χρήσιμης πληροφορίας

Anomaly detection (ή, Behaviour-based)

Εύρεση ανωμαλιών ή ισχυρών διαφοροποιήσεων από «κανονικές συνθήκες» λειτουργίας

Signature detection (ή, Knowledge-based)

Αναζήτηση σε μια ΒΔ για την εύρεση γνωστών αποτυπωμάτων επίθεσης

Ανάλυση Αρχείων ΚαταγραφήςAudit Trail Analysis

π.χ. Έστω το ωράριο του υπαλλήλου Χ είναι 8.00 – 17.00.Αν καταγραφεί είσοδος στο σύστημα στις 03.00, το γεγονός αυτό ίσως σημαίνει επίθεση


20 12 201 3

Ανίχνευση Εισβολής

Ανίχνευση μη εξουσιοδοτη-μένης χρήσης, επίθεσης ή άλλων ύποπτων ενεργειών…

… σε Π.Σ & δίκτυα

.. με σκοπό την ενημέρωση του διαχειριστή & τη λήψη μέτρων που θα μειώσουν ή αποτρέψουν τις συνέπειες μιας επίθεσης

Ένα σύστημα IDS μπορεί να ελέγχει σε πραγματικό χρόνο την κίνηση σε σύστημα ή δίκτυο

Αυτόνομη λειτουργία, ή επεξεργασία αρχείων καταγραφής (Η/Υ ή δικτύων)

Παρακολούθηση & ΈλεγχοςΣυστήματα IDS


20 12 201 3

Ανίχνευση Εισβολής

Ανίχνευση μη εξουσιοδοτη-μένης χρήσης, επίθεσης ή άλλων ύποπτων ενεργειών…

… σε Π.Σ & δίκτυα

.. με σκοπό την ενημέρωση του διαχειριστή & τη λήψη μέτρων που θα μειώσουν ή αποτρέψουν τις συνέπειες μιας επίθεσης

Ένα σύστημα IDS μπορεί να ελέγχει σε πραγματικό χρόνο την κίνηση σε σύστημα ή δίκτυο

Αυτόνομη λειτουργία, ή επεξεργασία αρχείων καταγραφής (Η/Υ ή δικτύων)

Παρακολούθηση & Έλεγχος Συστήματα IDS

Στο σχήμα, o όρος σύστημα μπορεί να αναφέρεται σε οποιοδήποτε από τα εξής: Σταθμός Εργασίας, Δικτ. Συσκευή, Server, Mainframe, Firewall, Web server, δίκτυο επιχείρησης κλπ


20 12 201 3

Δομή ενός Συστήματος IDS

Αισθητήρες

Αναλυτές

Διεπαφή Διαχειριστή

Παρακολούθηση & ΈλεγχοςΣυστήματα IDS

  • Συλλέγουν δεδομένα κίνησηςκαι δραστηριότητας χρήστη (user activity) και τα αποστέλλουν σε έναν αναλυτή

(Sensors)

  • Ο αναλυτής επεξεργάζεται τα δεδομένα με σκοπό τον εντοπισμό «πιθανής» ύποπτης δραστηριότητας

(Analyzers, Detectors)

  • H κονσόλα του διαχειριστή για τον έλεγχο των αισθητήρων & του αναλυτή, καθώς και για την προσαρμογή των ρυθμίσεων αποστολής ειδοποιήσεων

(Administrator interface)

  • Τα συστήματα IDS μπορούν να κατηγοριοποιηθούν με βάση την εμβέλεια τους, καθώς και με βάση τις τεχνικές που χρησιμοποιεί ο αναλυτής


20 12 201 3

Υπολογιστικού Συστήματος (Host-based IDS) – HIDS

Εγκαθίσταται σε μεμονωμένα συστήματα (hosts, servers) & ανιχνεύουν "ύποπτες" ενέργειες

Σβήσιμο αρχείων, αλλαγή ρυθμίσεων συστήματος, κλήσεις συστήματος, κίνηση πρωτοκόλλων επιπέδου εφαρμογής κλπ

Συστήματα IDS

  • http://www.atmarkit.co.jp/fsecurity/rensai/snort01/snort.gif


20 12 201 3

Δικτυακά (Network-based IDS) - NIDS

Η/Υ με εξειδικευμένο λογισμικό,

ή εξειδικευμένες συσκευές

H δικτυακή διεπαφή(NIC) λειτουργεί «αδιακρίτως» (promiscuous mode)

Συστήματα IDS

  • http://gentoo-wiki.com/images/4/41/HubNIDS.png

Μια NIC σε promiscuous mode αντιγράφει κάθε είδος δικτυακής κίνησης και το προωθεί σε ανώτερο επίπεδο της στοίβα των πρωτοκόλλων για επεξεργασία


Ids 20 2 also look at the papers

Συστήματα IDS (202) – also look at the papers

(Debar et al, 1999)


Ids intrusion detection ips intrusion prevention

Συστήματα IDS (Intrusion Detection) και IPS (Intrusion Prevention)


20 12 201 3

Βιβλιογραφία Μαθήματος

  • D. Gollman, Computer Security. 3rd Edition, 2010.

  • R. Anderson. Security Engineering, 2nd Edition, 2008

  • Hacking Exposed 5th Edition, McClure, Scambray and Kurtz, 2005

  • Firewalls and Internet Security, 2nd Edition. Bellovin et al, 2003.

  • D. Chaum. Secrets and Lies – Digital Security in a Networked world. 2001

  • Role-Based Access Control (RBAC): Features and Motivations. 1995.

  • Προβλήματα Ασφάλειας στο Ηλεκτρονικό Εμπόριο. Δρ. Χ. Κ. Γεωργιάδης. Σημειώσεις μαθήματος, Παν. Θεσσαλίας, 2003. http://inf-server.inf.uth.gr/courses/CE600/HE-B-plires-MHYDT2003.pdf

  • Εισαγωγή στον Έλεγχο Πρόσβασης, Τμήμα Πληροφορικής, Α.Π.Θ, http://www.csd.auth.gr/~oswinds/dopsys/week10b.pdf

  • National Computer Security Center (NCSC), A guide tounderstandingdiscrentionaryaccess controlintrusted systems,30 September 1987,http://www.radium.ncsc.mil/tpep/library/rainbow/NCSC-TG-003.html#HDR6%20%20%202%2014


  • Login